한국이 **업비트(Upbit)**의 3,000만 달러 규모 보안 사고 이후 가상자산 거래소에 대해 은행과 동일한 수준의 무과실 책임 기준을 도입하는 방안을 마련하고 있으며, 규제 감독 수준을 전통 금융기관과 맞추려 하고 있다.
금융위원회는 해킹이나 시스템 장애 발생 시 과실 유무와 관계없이 거래소가 이용자 피해를 전액 배상하도록 요구하는 규정을 검토 중이라고 전하고 있다. 이는 현재 은행과 전자금융업자에 적용되는 수준의 규제다.
이번 규제 강화 움직임은 11월 27일, 한국 최대 가상자산 거래소인 업비트에서 발생한 사고 이후 본격화되었다. 당시 1시간도 되지 않는 짧은 시간 안에 1,040억 개가 넘는 솔라나(Solana) 기반 토큰, 약 445억 원 규모가 외부 지갑으로 유출됐다.
무엇이 일어났나
업비트는 11월 27일 오전 4시 42분경, SOL, USDC, BONK, RENDER 등 솔라나(Solana) 네트워크 기반 자산이 알 수 없는 지갑 주소로 이동하는 비정상 출금 내역을 포착했다.
거래소는 인가되지 않은 출금이 감지되자마자 입·출금을 즉시 중단했다.
업비트의 모회사인 **두나무(Dunamu)**는 고객 피해가 약 386억 원 규모에 달한다고 확인했으며, 추가로 약 23억 원 상당의 자산이 동결된 상태라고 밝혔다.
거래소는 모든 손실을 자체 준비금으로 전액 보전하겠다고 약속했다.
그러나 사고 처리 과정에서 보고 지연 문제가 불거지며 정치권의 비판을 받았다.
해킹은 오전 5시 직후에 탐지되었지만, 업비트가 금융감독원에 사고를 공식 신고한 시각은 오전 10시 58분으로, 6시간이 훌쩍 지난 뒤였다.
여당 의원들은 두나무가 오전 10시 50분에 마무리된 네이버파이낸셜과의 합병 절차가 끝날 때까지 일부러 관련 정보를 숨긴 것 아니냐는 의혹을 제기했다.
약 103억 달러 규모의 주식 교환으로 이루어진 이번 거래는 한국에서 손꼽히는 대형 핀테크 인수·합병 사례 중 하나다.
이후 실시된 긴급 감사에서는, 업비트 내부 지갑 시스템에 존재한 취약점이 드러났다. 이 취약점은 공격자가 블록체인 트랜잭션을 분석하는 것만으로도 개인키를 추론할 수 있게 만들 수 있는 구조였던 것으로 알려졌다.
한국 당국은 이번 공격이 북한 연계 해킹 조직 라자루스(Lazarus Group)에 의해 자행된 것으로 의심하고 있으며, 2019년에 발생한 유사한 해킹 사건과 비슷한 수법이 사용된 것으로 보고 있다.
함께 읽기: Descending Triangle Pattern Could Send Dogecoin to $0.4 if Support Holds
이번 해킹은 업비트가 북한 배후로 지목된 공격에 의해 이더리움 34만 2,000개를 탈취당한 지 정확히 6년이 되는 날에 발생했다.
왜 중요한가
이번에 제안된 규제 체계는 한국 가상자산 산업의 책임 구조를 근본적으로 재편할 수 있다. 핵심은, 은행과 전자금융업자에만 적용되던 ‘무과실 배상’ 의무를 가상자산 거래소에도 확대 적용하겠다는 것이다.
금융감독원 자료에 따르면, 업비트와 빗썸(Bithumb), 코인원(Coinone), 코빗(Korbit), 고팍스(Gopax) 등 5대 거래소는 2023년부터 2025년 9월까지 총 20건의 시스템 장애를 기록했으며, 이로 인해 900명이 넘는 이용자가 피해를 입었고 누적 손실액은 50억 원을 초과했다.
이 가운데 업비트만 해도 6건의 장애로 600명의 고객이 영향을 받았고, 피해액은 30억 원에 달했다.
입법 논의 중인 개정안에는 해킹 사고가 발생할 경우, 전통 금융기관과 마찬가지로 연 매출의 최대 3%까지 과징금을 부과할 수 있도록 하는 내용이 포함되어 있다.
현재 가상자산 거래소에 부과할 수 있는 최대 과징금은 50억 원에 불과하다.
이번 입법 초안에는 IT 보안 인프라 구축 계획 수립 의무, 시스템 기준 상향, 제재 수준 대폭 강화 등도 담길 전망이다.
개정안이 시행되면 거래소들은 은행 수준의 사이버 보안 체계를 구축하고, 잠재적인 고객 손실을 감당할 수 있을 만큼의 충분한 준비금을 유지해야 한다.
한국 금융정보분석원(FIU)은 과거 자금세탁방지 규정 위반을 이유로 두나무에 352억 원의 과징금을 부과하고, 신규 고객 온보딩(onboarding)을 3개월간 정지시키기도 했다.
당시 FIU는 약 530만 건의 고객 신원확인 미흡 사례와, 15건의 의심거래 미보고 사실을 점검 과정에서 적발했다.
당국은 동시에, 이른바 ‘트래블 룰(travel rule)’의 적용 대상을 100만 원 미만 소액 거래까지 확대해, 여러 번으로 나누어 송금하는 방식으로 신원 확인을 회피하는 편법을 차단할 계획이다.
앞으로 금융정보분석원은 중대한 위법 정황이 포착될 경우, 선제적으로 계정을 동결할 수 있는 권한도 확보하게 된다.
금융감독원 이찬진 원장은 현행 법 체계에 대해 “현재의 규율 체계만으로는 제재 수위에 분명한 한계가 있다”고 인정했다.
이번 개편은 이러한 규제 공백을 해소하고, 디지털 자산에 관한 포괄적 규제를 이미 도입한 주요국과의 경쟁에서 뒤처지지 않기 위한 포석으로 추진되고 있다.
관련 법률 개정은 2026년 상반기 중 이뤄질 것으로 예상되며, 한국은 금융행동특별기구(FATF)와의 공조를 확대하면서 글로벌 기준과 보조를 맞추려 하고 있다.
다음 읽기: Fidelity CEO Reveals Personal Bitcoin Holdings, Calls BTC "Gold Standard" of Crypto