특히 해킹 공격은 불과 54분 만에 완료됐으며, 사고 발생을 인지한 후에도 금융당국에 약 6시간 후에야 신고한 것으로 드러나 논란이 커지고 있다.
국회 강민국 의원실이 금융감독원에서 제출받은 '업비트 가상자산 비정상 출금사고 현황'에 따르면 해킹은 지난 11월 27일 04시 42분 업비트 지갑실에서 비정상 출금 정황이 처음 포착됐으며, 05시 36분에 해킹이 완료됐다.
해킹으로 외부로 빠져나간 자산은 솔라나 기반 24종 코인 총 1040억 6470만여 개, 피해액 444억 8059만 원에 달한다. 계산하면 1초당 약 3212만 개(금액 기준 약 1373만 원)가 유출된 셈이다.
피해 중 업비트 회원 자산 피해는 약 386억 원, 이 가운데 약 23억 원은 동결, 나머지 업비트 회사 피해액은 약 59억 원으로 집계됐다.
문제가 된 것은 업비트의 늑장 신고다. 업비트는 사고를 04시 42분에 최초 인지했지만, 금융감독원에 유선 보고한 시점은 10시 58분, 공식 시스템 보고는 11시 45분이었다. 또한 KISA 보고 11:57 금융위원회 유선 보고 15:00 경찰 신고 13:16분으로 이는 '가상자산 이용자 보호 등에 관한 법률' 제12조가 규정한 '이상거래 의심 시 지체 없는 통보 의무'를 위반한 것이라는 지적이 나온다.
업비트는 지난 2019년 대규모 해킹 사고 이후 취약점 점검, 침투 테스트, 악성 이메일 모의훈련 등 총 33건의 보안컨설팅(170억 원)을 진행했다. 또한 같은 기간 11건의 보안 외주 계약(28억 원)을 체결한 것으로 나타났다. 그럼에도 불구하고 이번과 같은 천문학적 수준의 재발 사고가 발생했다는 점에서 업비트의 보안 체계 실효성에 대한 비판이 제기된다.
더욱이 업비트는 최근까지도 정보보안 관련 예산을 별도 계정 없이 운영비·개발비 항목에서 관리해 온 것으로 확인됐다. 2019부터 2020년 "정보보호 공시 대상이 아니다"는 이유로 정보보안 투자액조차 파악하지 않았다는 지적이 있다.
강민국 의원은 "국내 1위 거래소에서 445억 원 상당의 자산이 탈취됐음에도 6시간 늑장 신고는 명백한 법령 위반 가능성이 있다"며 "금융당국이 철저히 조사해야 한다"고 강조했다.
그러면서 "이번 해킹에서 솔라나 계열 코인만 전량 유출된 원인이 솔라나 플랫폼 자체 문제인지, 업비트의 결제 계정 관리 방식 문제인지 명확히 규명할 필요가 있다"고 덧붙였다.
