[팩트체크]업비트, 해킹 '늑장 보고'?…법 위반 여부 따져보니

이용자보호법상 '이상거래' 보고 의무에 '해킹'은 포함 안돼
업비트, 합법적으로 보고…"법률 보완은 필요"

  • 박현영 블록체인전문기자

서울 강남구 업비트 고객센터의 모습. 2025.1.21/뉴스1 ⓒ News1 신웅수 기자

(서울=뉴스1) 박현영 블록체인전문기자 = 국내 최대 가상자산(디지털자산) 거래소 업비트가 최근 해킹으로 445억원 규모의 가상자산을 탈취당한 가운데, 공격 탐지 후 6시간 만에 금융감독원에 사고 사실을 보고한 것을 두고 '늑장보고' 논란이 제기됐다.

업비트는 오전 4시 42분 '비정상 출금'으로 자산이 빠져나간 사실을 인지했으나 공격 탐지 약 6시간 뒤인 오전 10시 58분 금감원에 유선 보고를 했다. 또 문서로 공식 보고한 시점은 11시 45분으로, 공격 최초 확인 시간인 4시 42분으로부터 7시간의 공백이 있었다. 이를 두고 일각에서 '늑장 보고'이자 가상자산 이용자보호법 위반이라고 지적한다.

그렇다면 국내 1위 사업자인 업비트는 정말 가상자산 이용자보호법을 위반했을까.

이용자보호법상 이상거래 보고 의무에 '해킹'은 포함 안돼

결론부터 말하자면 업비트의 보고를 가상자산 이용자보호법 위반이자, '늑장 보고'로 간주하기는 어렵다.

우선 가상자산 이용자보호법에 해킹과 관련한 보고 의무는 포함돼 있지 않다. 단, 이상거래 탐지 시 당국에 즉시 보고할 의무는 있다.

문제는 해킹으로 인한 가상자산 비정상 출금이 '이상거래'에 해당하는지다.

전날 강민국 국민의힘 의원실은 업비트 해킹에 대한 금융당국 조사 자료를 배포하며 비정상 출금을 이상거래에 해당하는 것으로 봤다. 이용자보호법 제12조에 따르면 가상자산사업자는 이상거래가 의심되는 경우 '지체 없이' 금융당국에 통보해야 하는데, 업비트는 이를 위반했다는 주장이다.

하지만 해킹 사실은 이용자보호법상 이상거래에 해당되지 않는다게 전문가들의 설명이다. 시세조종을 비롯한 불공정거래가 이 이상거래에 해당한다.

가상자산 이용자보호법 시행령 제 18조에 따르면, 이용자보호법 제 12조의 '이상거래'는 △가상자산의 가격이나 거래량이 비정상적으로 변동하는 경우 △가상자산의 가격 등에 영향을 미칠 수 있는 풍문 또는 보도 등이 있는 경우 △그 밖에 가상자산시장에서의 공정한 거래질서를 해칠 우려가 있는 경우에 해당하기 때문이다.

진현수 디센트 법률사무소 대표 변호사는 "이상거래는 주로 시세조종, 미공개 중요 정보 이용행위 등 불공정거래 행위와 관련된 개념이며, (이용자보호법 제 12조는) 해킹과 같은 침해사고와는 직접적인 관련이 없는 조항"이라고 설명했다.

해킹 시 금융당국에 보고해야 하는 의무는 '금융기관 검사 및 제재에 관한 규정'에 포함돼 있다. 해당 규정 시행세칙에 따르면 금융사고 발생 시 금융회사는 사고를 인지 또는 발견한 날의 '익영업일'까지 금융정보교환망(FINES)으로 보고해야 한다.

가상자산사업자는 금융회사에 해당되지 않으나, 설령 이 규정을 적용한다고 하더라도 업비트는 당일에 보고한 것이므로 법률을 위반한 것은 아니다.

이와 관련해 업비트 관계자는 "비정상 출금 후 추가 출금을 막는 데에 집중했고, 비정상 출금이 침해 사고라고 최종 확인된 즉시 당국에 보고했다"고 말했다.

업비트, 합법적으로 보고했지만…"법률 보완은 필요"

이처럼 현행법상 업비트의 보고가 법률 위반에 해당하지는 않으나, 해킹 발생 시 금융당국에 즉시 보고해야 하는 규정이 없는 것은 법률 공백이라는 지적도 나온다.

특히 365일 24시간 거래되는 가상자산의 특성상 해킹이나 전산장애 발생 시 금융당국에 지체 없이 보고하고, 입출금 차단 공지와 함께 이용자들에게 알려야 한다는 목소리가 크다.

진현수 변호사는 "가상자산 시장 특성상 해킹은 이용자 보호에 중대한 영향을 미치므로, 가상자산 이용자보호법을 개정해 해킹 사고 발생 시 금융당국에 지체 없이 보고해야 한다는 조항을 추가하거나 하위 법령에 따라 익영업일이 아닌 12시간 내로 보고하도록 하는 방안을 고려해야 한다"고 말했다.

현행법상 가상자산 거래소의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항도 없다. 하지만 업비트는 회원 자산에는 어떤 피해도 발생하지 않도록 전액 업비트 자산으로 이미 충당했다.

금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 지배적이다.

다만 금융당국은 가상자산 '2단계 법안'을 마련하는 과정에서 대규모 해킹·전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토 중인 것으로 알려졌다.

hyun1@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.

많이 본 뉴스

  1. 조진웅, 소년범 인정…7년 전 고교 동창글도 재주목 "떼강도 짓"
    많이 본 뉴스
  2. 조진웅, 고교 때 성폭행 '소년원 간 일진' 의혹…소속사 "사실 확인 중"
    많이 본 뉴스
  3. "박나래 '주사 이모' 있었다" 불법 의료 의혹도 등장…소속사 "상황 파악 중"
    많이 본 뉴스
  4. 블랙핑크 리사, '재벌 남친' 가문 명품 브랜드 행사장 출격…독보적 미모
    많이 본 뉴스
  5. '현대家 며느리' 노현정, 깜짝 포착…변함없는 미모 [N샷]
    많이 본 뉴스
  6. 조진웅, 소년범 인정·사과→연예계 전격 은퇴…'시그널2'도 비상(종합)
    많이 본 뉴스
  7. '은퇴 선언' 조진웅, 이번엔 신인 배우·스태프 '폭행' 의혹
    많이 본 뉴스
  8. 조진웅 측, 소년범 의혹에 "미성년 시절 잘못된 행동 깊이 반성…성폭행은 무관"
    많이 본 뉴스
  9. 조진웅, 30년 연기 생활 끝냈다…소년범 인정·사과 속 전격 은퇴 [N이슈]
    많이 본 뉴스
  10. 박나래 결국 방송 활동 중단…"매니저와 오해 풀었지만 제 불찰, 반성"
    많이 본 뉴스