업비트 해킹 당시 ‘늑장 신고’ 논란… 실제 보고 절차는 어땠나

[이데일리 김현아 기자] 국내 가상자산 거래소 업비트가 지난 11월 27일 발생한 사이버 침해사고와 관련해 제기된 ‘늑장 신고’ 논란에 휘말렸다. 이번 사고로 업비트에서는 총 445억원 규모의 비정상 출금이 발생했다.

[이데일리 이미나 기자]

법 위반 여부… “정보통신망법·금융감독 규정 모두 충족”

기업은 해킹 등 침해사고를 인지하면 ‘정보통신망법’에 따라 24시간 이내 한국인터넷진흥원(KISA)에 신고해야 한다.

그런데 업비트는 사고가 발생한 27일 당일 한국인터넷진흥원(KISA)에 신고했다. 당일 오전 4시 42분경 해킹 공격이 시작됐고, 같은 날

오전 11시 57분 KISA에 신고한 것이다.

또 금융당국 신고는 ‘금융기관 검사 및 제재에 관한 규정’을 따른다.

규정상 해킹을 인지한 날의 익영업일까지 금융정보교환망(FINES)을 통해 보고해야 하며, 업비트는 이 역시 사고 당일 오전 10시 58분 금융감독원에도 보고를 마쳐 늑장 신고로 볼 수 없다. 경찰에는 오후 1시 16분, 금융위원회에는 오후 3시에 별도 보고했다. 비정상 출금 행위가 이뤄졌음을 홈페이지에 공지한 시간은 낮 12시 33분이다.

법 위반은 없지만 네이버 합병 행사 피한 늑장 논란에… “해킹 여부 검증 위한 것”

하지만, 법 위반과 별개로 해킹 시도를 인지하고도 업비트(두나무)와 네이버 합병 행사로 인해 당국에 일부러 늦게 신고했다는 비판이 국회에서 제기됐다.

사건 인지 18분 만인 11월 27일 당일 오전 5시 긴급회의를 열었고, 오전 5시 27분에 솔라나 네트워크 계열 디지털자산 입출금을 중단했고, 오전 8시 55분에는 모든 디지털자산 입출금을 막았음에도 실제 당국 신고는 두나무-네이버 합병 행사가 끝난 10시 50분이후 이뤄졌다는 비판이다.

이에 대해 업비트 측은 당일 오전 4시 42분 비정상 출금 알림을 탐지했으나, 이를 즉시 해킹으로 단정할 수 없어 검증이 필요했다고 밝혔다. 업비트는 “충분한 검증 없이 해킹으로 단정해 조치를 취하면 또 다른 피해가 발생할 수 있다”며 “추가 출금을 차단하는 동시에 신속하지만 신중하게 상황을 확인했다”고 설명했다. 또 “비정상 출금이 해킹으로 최종 확정된 시각은 오전 10시 58분이며, 확인 직후 당국 보고가 이뤄졌다”고 밝혔다.

2023년 B거래소는 해킹 탐지이후 신고까지 약 28시간, 2025년 C 게임사는 2일이 걸린 반면, 2025년 업비트는 6시간에 불과했다는 것이다.

업비트는 “해킹으로 확정되기까지 필요한 검증 과정 때문에 일정 시간이 발생한 것일 뿐, 신고 지연에 해당하지 않는다”고 강조했다.

고객 피해 보전… “출금된 386억원 전액 보전”

업비트는 사고 당일 해킹 사실을 공지하면서 고객 자산 보전 방안을 즉시 발표했다. 비정상 출금된 고객 자산 386억원 전액을 회사 자산으로 보전해 이용자 피해가 발생하지 않도록 했다고 설명했다.