당국 ‘무과실 배상’ 입법 추진

국내 최대 가상자산 거래소 업비트에서 해킹 시도 54분 만에 1000억개가 넘는 가상자산이 유출된 것으로 나타났다. 하지만 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 조항이 없어 ‘규제 공백’에 대한 우려가 커지고 있다.

7일 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원으로부터 제출받은 자료에 따르면 이번 해킹 시도는 지난달 27일 오전 4시42분부터 54분간 이뤄졌는데, 이 시간 동안 솔라나 계열 24종의 가상자산 총 1040억6470만여개(약 445억원)가 유출됐다. 1초당 약 3200만개(1370만원)가 해킹된 셈이다.

해킹이 발생한 지난달 27일은 업비트 운영사인 두나무와 네이버가 합병 방침을 공식 발표한 날이었다. 업비트는 합병 행사 이후 금융당국에 관련 사실을 보고해 ‘늦장대응’했다는 비판을 받고 있다. 업비트는 행사가 끝난 오전 10시50분 이후에 금감원(오전 10시58분)과 한국인터넷진흥원(오전 11시57분), 경찰(오후 1시16분), 금융위원회(오후 3시)에 해킹피해 사실을 보고 및 신고했다. 업비트 관계자는 “시간상 합병 행사 이후에 신고한 건 맞지만, 실제 비정상 출금이 해킹으로 인한 것인지 확인하는 데 시간이 걸렸다”고 말했다.

금감원이 업비트에 대한 현장점검에 나섰지만 현행법상 가상자산사업자의 해킹사고와 관련해 제재 규정이 없어 중징계로 이어지긴 어렵다는 관측이 나온다. 전자금융거래법(전금법)은 금융기관의 무과실 책임을 인정하지만, 가상자산 사업자는 전금법 적용을 받지 않는다. 지난해 7월 시행된 가상자산법(1단계법)에는 해킹·전산 사고에 대한 제재 규정이 없다. 이찬진 금감원장은 최근 취임 후 첫 기자간담회에서 업비트 해킹 사고와 관련해 “제재 부분에 한계가 있다”고 말하기도 했다.

이에 금융당국은 현재 입법을 준비 중인 2단계 가상자산법안에 가상자산 거래소가 대규모 해킹·전산 사고를 막지 못했을 경우 금융회사와 동일하게 무과실 손해배상 책임을 부과하는 제재규정을 포함시킬 계획이다.