편집자 주 
정보유출 사태가 대한민국 사회 전체를 들쑤시고 있다. 대형 금융사와 유통업체 등에 등록된 고객 정보들이 와르르 쏟아져나와 불안감을 키웠다. 이번 만이 아니다. 잊을 만하면 대규모 정보유출 사태가 불거진다. 이른바 '해킹 대한민국'이라 해도 지나치지 않을 정도다. "설마" 하는 보안 불감증이 늘 일을 키운다. 이번에는 정말 마지막이어야 한다. 따라서 최근 발생한 사태들을 곱씹어 볼 필요가 있다. 그런 의미에서 이번 사태들의 여파가 어느 정도 확산됐고, 어떻게 수습되고 있는지 진단해봤다. 

국내 최대 가상자산 거래소 업비트가 대규모 해킹 사고와 관련해 금융당국과 경찰의 조사를 받고 있는 가운데, 사고와 직접적으로 연관된 솔라나(Solana) 생태계 기반 가상자산 상장을 이어가고 있다. 이번 사고를 계기로 가상자산 거래소의 보안 책임과 운영 기준을 보다 명확히 규율할 법적 장치의 필요성도 다시 제기되고 있다.

◆ 해킹 직후 솔라나 상장 재개···‘시점’ 논란

16일 가상자산업계에 따르면 업비트는 해킹 사고 발생 이후 약 3주 만에 솔라나 생태계 기반 신규 가상자산인 휴미디파이(WET)의 거래 지원을 공지했다. 휴미디파이는 솔라나 기반 탈중앙화거래소(DEX) 프로젝트로, 코인베이스·OKX·바이빗·게이트 등 주요 해외 거래소에 이미 상장돼 있다.

이번 해킹 사고는 솔라나 계열 가상자산 24종이 동시에 피해 대상이 된 것으로 알려졌다. 단일 코인이 아닌 특정 블록체인 생태계 전반이 영향을 받은 사례라는 점에서, 보안 체계와 함께 상장·관리 기준 전반에 대한 점검 필요성이 제기돼 왔다.

논란의 핵심은 상장 여부 그 자체가 아니라 시점이라는 지적이다. 업비트는 현재 사고 원인과 내부 통제 미흡 여부, 상장 자산 관리 책임 등을 놓고 당국과 경찰의 조사를 동시에 받고 있다. 핵심 쟁점이 정리되지 않은 상태에서 동일 생태계 기반 가상자산 상장이 이어지는 것이 적절한지에 대한 문제 제기가 나오는 배경이다.

업비트는 "해당 거래지원은 지난달 27일 발생한 사이버 침해사고의 원인 파악 및 해소가 완전히 완료된 이후 진행되는 거래지원"이라며 "향후에도 보안 시스템 고도화 등 종합적 안전 대책을 지속적으로 강화해 더욱 안전한 거래 환경을 제공할 수 있도록 최선을 다할 것"이라고 밝혔다. 

◆ 자산 충당과 별개의 법적 책임 필요

한편 업비트가 고객 피해 자산을 자체 자산으로 전액 보전하면서, 이번 사안을 ‘피해는 정리된 사건’으로 받아들이는 분위기도 일부에서 감지된다.  전문가들은 이번 사고의 본질이 자산을 충당했느냐의 문제가 아니라, 개인키 생성 알고리즘이라는 최종 보안 수단에 결함이 발생했음에도 이를 명확히 규율할 법적 틀이 부재하다는 점이라고 지적한다

가상자산 거래에서 개인키는 출금을 가능하게 하는 최종 인증수단이다. 전통 금융권으로 치면 공인인증서나 OTP, 생체인증에 해당한다. 이 개인키 생성 과정에서 외부 추정이 가능할 정도의 취약점이 존재했다면, 이는 단순 해킹 피해를 넘어 보안 체계 전반의 결함으로 평가될 수밖에 없다는 분석이다.

법무법인 르네상스 정수호 대표변호사는 “개인키 유출은 은행의 공인인증서나 OTP가 유출된 것에 상응하는, 최종 인증수단의 무력화로 평가될 수 있다”며 “개인키 생성 알고리즘의 취약점은 은행이 인증서 발급 시스템 자체에 결함을 둬 제3자가 고객 인증수단을 복제할 수 있게 한 것과 동일한 수준의 중대한 보안관리 소홀”이라고 평가했다.

문제는 현행 법체계에서 이러한 사안을 판단할 기준이 충분히 구체화돼 있지 않다는 점이다. 가상자산이용자보호법은 정보보안 의무를 법률상 부과하고 있으나 개인키 생성·관리 등 핵심 기술 요소에 대해서는 구체적 기준이 없다.

◆ 금융권 준하는 보안기준 논의···“불확실성 해소”

법적 기준의 공백도 전통 금융권과 비교될 수밖에 없다. 은행에서 인증서 발급 시스템에 중대한 결함이 확인될 경우, 이는 즉각적인 중대 사고로 분류돼 감독당국의 제재와 법적 책임 논의로 이어진다. 전문가들은 오히려 은행보다 더 높은 수준의 보안이 요구돼야 한다고 봤다. 

가상자산 거래는 예금자보호나 거래 취소가 가능한 은행 시스템보다 사고 발생 이후의 구제 수단이 제한적인 구조를 갖고 있는 만큼, 사후 조치보다는 사전적인 보안 기준과 책임 구조를 명확히 하는 것이 중요하다는 지적이다. 

정수호 대표변호사는 "핵심 보안기술과 책임 기준을 보다 구체적으로 명시하는 방향으로 제도 전환이 필요하다”며 “가상자산 2단계 입법에서는 기술 기준의 법률 명시, 독립적 보안감사 의무화, 기준 위반 시 실효성 있는 제재 체계 구축이 중요한 과제가 될 것”이라고 강조했다.

업계 한 관계자는 "기존 금융권 수준으로 보안 기준을 도입하는 건 필요한 일"이라며 "책임의 영역에서 일부 업계 특수성을 고려하는 건 필요하겠지만, 투자 규모/비중이나, 책임자 지정 등 부분은 충분히 이뤄질 수 있는 부분들인 만큼 체계적으로 정리가 된다면 업계 차원에서 불확실성 해소에 도움이 될 것"이라고 밝혔다.