업비트 해킹사건 정리

안녕하세요! 오늘은 지난달 가상자산 커뮤니티를 발칵 뒤집어놓았던 '2025년 업비트 해킹 사건'을 총정리해 드리려고 합니다.

2019년 이후 잠잠했던 업비트에서 6년 만에 대규모 탈취 사고가 발생했는데요. 사건의 전말과 범인, 그리고 가장 중요한 피해 보상은 어떻게 되는지 핵심만 요약했습니다.

업비트 해킹사건

언제? 2025년 11월 27일 새벽
무엇을? 업비트 핫월렛(온라인 지갑)에 보관 중이던 가상자산
얼마나? 약 540억 원 규모

지난달 27일 새벽, 업비트의 이상 거래 감지 시스템이 울렸습니다. 정체불명의 해커가 보안망을 뚫고 540억 원어치의 코인을 외부 지갑으로 빼돌린 것입니다.

공교롭게도 이날은 업비트 운영사(두나무)와 네이버파이낸셜의 합병 행사가 예정된 날이기도 해서, 해커가 일부러 '잔칫날'을 노린 것 아니냐는 분석도 나오고 있습니다.

 "국내 가상자산거래소 1위 기업인 업비트가 해킹으로 1천억개 이상 코인이 유출됐음에도 6시간 넘게 늑장 신고했다"며 "(유출 대상이 된) 솔라나 플랫폼 자체의 구조적 문제인지, 업비트 결제 계정 방식 문제인지에 대한 조사도 확실하게 있어야 한다"고 지적하기도 했는데요.

그러나 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항은 없는 것으로 나타났습니다. 법의 사각지대인데요.이 때문에 금감원이 현재 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지긴 어렵다는 관측이 많습니다.

이찬진 금감원장은 업비트 해킹 사고와 관련해 "그냥 넘어갈 성격의 것은 아니다"라면서도 "제재 (권한) 부분에 상대적으로 한계가 있다"고 말하기도 했습니다.


전자금융거래법은 전자금융업자에게 거래 안전성·신뢰성을 확보할 것을 의무로 규정하고, 불가피한 사고 위험에 대한 시스템 관리자로서 금융기관의 무과실 책임까지 인정합니다. 그러나 적용 대상에 가상자산사업자는 포함되지 않는데요.

작년 7월 시행된 '가상자산법'(1단계법)은 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 제재 규정을 다루고 있지 않습니다.

금융당국 관계자는 "해킹 사고만 있었다고 할 경우 가상자산사업자에 어떤 조치를 할 수 있는 근거는 없다"며 "(1단계 법에 불공정거래 등 이상거래 감시 의무는 있지만) 해킹 사고 시 보고 의무 조항은 없어 보고 지연 여부를 논하기도 어렵다"고 말하기도 했습니다.

이런 가운데 금융당국은 가상자산 2단계 입법 시 대규모 해킹·전산 사고를 막지 못했을 경우 배상 책임을 부과하는 방안을 검토하고 있습니다,

또 다른 관계자는 "가상자산 1단계 법에서도 고객이 맡긴 가상자산의 80% 이상을 인터넷과 연결되지 않은 '콜드월렛'에 보관하도록 정해놨기 때문에 업비트가 해당 조치를 제대로 했는지는 살펴볼 수 있다"고 말했습니다.