[김기동 법무법인 로백스 대표변호사] 2025년 11월 27일 새벽, 업비트에서 약 445억원 규모의 가상자산이 비정상 출금되는 대규모 해킹 사고가 발생했다. 이번 사건은 2019년 업비트에서 이더리움 탈취 사건이 발생한 이후 정확히 6년 만에 동일한 날짜에 다시 발생했다는 점에서 큰 충격을 줬다. 경찰은 두 사건의 범행 수법이 유사하다는 점 등을 근거로 북한 해킹 조직의 연계 가능성도 배제하지 않고 수사를 진행 중인 것으로 알려졌다. 

업비트는 이용자 보호를 위해 피해 전액을 거래소 자산으로 충당하겠다고 발표하며 시장의 불안을 조기에 진화했다. 탈취 자산을 수천개의 지갑으로 파편화하는 고도화된 세탁 수법이 동원됐지만, 민관 공조를 통해 약 26억원 규모의 자산을 신속히 동결하는 성과를 거둔 점은 그나마 다행이다.

실질적 내부통제 체계 필요한 이유

이 사건은 우리에게 두 가지 상반된 메시지를 던졌다. 하나는 가상자산이 여전히 해킹의 위협에 노출되어 있다는 불안감이다. 반면 탈중앙화와 국경 없는 이동을 특징으로 하는 가상자산에 대한 해킹이 더 이상 ‘추적 불가능한 완전범죄’가 아님을 증명했다. 가상자산 범죄가 이제 ‘기술의 틈’을 벗어나 ‘법의 망’으로 편입되는 변곡점에 선 것이다.

범죄에 대한 대응은 사후 처벌보다는 범죄 발생 가능성을 사전에 차단하는 것이 더 중요하다. 현행 가상자산이용자보호법은 이용자 자산의 80% 이상을 콜드월렛(Cold Wallet)에 보관하도록 강제하고 있다. 콜드월렛에 보관되지 않은 나머지 자산(핫월렛 보관분 등)에 대해서도, 해킹이나 전산 장애 발생 시 피해를 배상할 수 있도록 법령에서 정한 기준에 따라 ‘가상자산 경제적 가치의 5% 이상’에 해당하는 금액을 보험에 가입하거나 준비금으로 적립하도록 하고 있다.

여기에 더해, 가상자산사업자는 멀티시그 지갑(트랜잭션을 승인하기 위해 두 개 이상의 프라이빗 키가 필요한 지갑)을 사용하여 단일 권한자의 키 탈취만으로는 출금이 실행되지 않도록 위험을 완화하고 있다. 이러한 보안·통제 체계는 해킹 사고 발생 시 가상자산사업자가 관리·감독 의무를 충실히 이행하였는지를 판단하는 기준이 되며, 수사 과정에서는 ▲침해 경로의 특정 ▲내부자 개입 가능성 확인을 위한 핵심 분석 대상이 된다.  

법적 규제보다 더 중요한 것은 사업자의 실질적인 내부통제 체계다. 최근의 해킹 기법은 단순히 시스템의 취약점을 파고드는 것을 넘어, 내부자의 권한을 도용하거나 소셜 엔지니어링을 활용하는 방식으로 진화하고 있다. 기술적 보안이 1차 방어선이라면, 관리 감독 의무를 충실히 이행하는 내부통제 시스템은 법적 책임 여부를 가르는 결정적 잣대가 된다. 사고 발생 시 사업자가 면책을 받기 위해서라도, 금융회사 수준의 엄격한 거버넌스 확립이 선행되어야 한다.

온체인 분석과 국제 공조의 시대

전통적인 수사 기법이 장부나 계좌 거래 내역을 추적하는 것이라면, 가상자산 수사의 핵심은 온체인 데이터 분석에 있다. KYT(Know Your Transaction) 기술은 블록체인상에 기록된 거래 정보를 분석하여, 범죄 수익의 이동 경로를 추적하는 기법이다.

믹싱 서비스(여러 명의 거래를 섞어 출처를 흐리는 기법)나 브릿지(서로 다른 블록체인을 연결하는 통로)를 활용한 세탁은 추적을 어렵게 만들지만, 최신 KYT 도구는 복잡한 자금 흐름을 재구성하고 체인 간 연관성을 식별하는 수준으로 발전하고 있다. 

가상자산 수사는 속도전이며, 국경을 넘나드는 협력이 필수적이다. 자산이 해외 거래소로 유입된 경우 인터폴 및 현지 수사 당국과의 공조도 필요하다. 이번 업비트 사건에서도 솔레이어(Solayer) 재단과의 신속한 공조를 통해서 발행 재단의 스마트 컨트랙트 동결 권한을 활용, 약 23억원 규모의 레이어(Layer) 토큰의 이동을 즉각 차단할 수 있었다는 점에 주목해야 한다. 

가상자산 해킹에 대해서는 예방·수사·환수 체계가 유기적으로 작동해야 한다. 국회에서 심의 중인 디지털자산기본법안에 이런 내용이 반영될 필요가 있다.

특히 가상자산은 국경을 초월해 순식간에 이동하므로, 압수수색 영장이 발부되기 전이라도 해킹 정황이 확인되는 경우 수사기관이나 가상자산사업자가 자산을 동결할 수 있도록 긴급 조치권과 사업자의 협조 의무를 법제화할 필요성이 있다.

가상자산사업자는 단순한 플랫폼이 아니라 범죄 예방과 피해 회복에 있어 제1차적 협력자다. 수사기관은 기술 환경의 변화에 맞춰 수사 기법을 고도화하고, 해외 수사기관 및 사업자들과의 국제적 협력을 통한 자산 동결 선례를 축적해야 한다. 법적 규제와 기술 인프라가 뒷받침될 때, 가상자산 해킹은 더 이상 기술의 사각지대가 아니라 법 집행이 실질적으로 작동하는 영역으로 편입될 수 있다.  

김기동 법무법인 로백스 대표변호사

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지