업비트에서 발생한 대형 보안 사고는, 해커들이 실제로 어떤 자산을 대량으로 빼갔는지와 어디에서 진짜 금전적 피해가 발생했는지 사이에 뚜렷한 불균형이 존재함을 드러내며, 한국 최대 거래소의 리스크 관리에 대한 새로운 의문을 낳았다.
지난달 발생한 해킹에서 1,000억 개가 넘는 BONK 토큰이 탈취됐지만, 가장 큰 금전적 손실을 낸 것은 BONK가 아닌 솔라나(SOL)였다.
강민국 의원을 통해 금융감독원이 공개한 자료에 따르면, 공격자는 11월 27일 오전 4시 42분부터 5시 36분까지 약 54분 동안 업비트에서 약 1,040억 6,000만 개의 코인을 빨아냈다. 이 기간 동안 초당 3,200만 개의 토큰이 유출됐으며, 총 피해액은 약 445억 원(3,020만 달러)에 달했다.
BONK는 전체 탈취 토큰의 99.1%에 해당하는 약 1,031억 2,000만 개를 차지했지만, 시가총액이 낮아 실제 손실액은 15억 3,000만 원에 그쳤다고, 코리아중앙데일리는 전했다.
반면 솔라나는 전체 토큰 수로 보면 극히 일부에 불과했지만, 금전적 타격은 가장 컸다. 피해액은 약 189억 9,000만 원으로, 전체 도난 가치의 42.7%를 차지했다.
이 밖에도 Pudgy Penguins(PENGU) 토큰(38억 5,000만 원)과 Official Trump(TRUMP) 토큰(29억 2,000만 원) 등에서 추가 손실이 발생했다.
업비트는 오전 5시에 비상 회의를 열고, 5시 27분까지 솔라나 기반 거래를 중단했으며, 오전 8시 55분에는 모든 디지털 자산 거래를 동결했다.
Also Read: Google Introduces Titans, The First AI System To Update Its Own Memory In Real Time
그러나 타임라인을 보면 당국 통보에는 상당한 지연이 있었다.
금감원은 오전 10시 58분에야 보고를 받았고, 이어 한국인터넷진흥원은 11시 57분, 경찰은 오후 1시 16분, 금융위원회는 오후 3시에 각각 통보를 받았다.
대중에게 사건이 공지된 시각은 오후 12시 33분이었다.
강 의원은 이 같은 지연을 비판하며 “문제의 원인이 솔라나 플랫폼 구조에 있는지, 업비트 계정 관리 시스템에 있는지에 대한 전면적인 조사가 필요하다”고 지적했다.
법적 모호성도 사태를 복잡하게 만든다. 2023년 제정된 이용자 보호법을 포함한 한국의 기존 가상자산 제도는 거래소 해킹에 대한 제재나 배상 의무를 명확히 규정하지 않고 있어, 현재 진행 중인 금감원의 검사 결과에도 한계를 두고 있다.
업비트 측은 고객 자산의 80% 이상을 콜드월렛에 보관하고 있었으며, 이번 손실은 회사가 직접 부담했다고 밝혔다.
“당시 최우선 과제는 추가적인 무단 출금을 막는 것이었습니다.” 한 대변인은 “이상이 실제 해킹으로 확인되자마자 즉시 사건을 보고했다”고 말했다고 전했다.
Read Next: PwC: Hedge-Fund Crypto Exposure Surges To 55%, Up From 47% Last Year