이찬진 금감원장, 업비트 해킹에 “강수 예고”…네이버–두나무 빅딜도 정밀 점검 예고

업비트 445억 해킹, 새 금감원장의 첫 시험대

이찬진 금융감독원장이 취임 직후부터 국내 최대 가상자산 거래소 업비트 해킹 사태를 놓고 강경 대응 기조를 분명히 했다. 그는 이번 사건을 “거래소 신뢰를 정면으로 흔든 중대 금융 사고”로 규정하며, 현장 검사와 제도 보완을 동시에 추진하겠다는 입장을 내놨다. 

지난 11월 27일 업비트에서는 솔라나(Solana) 계열 디지털자산 일부가 외부 지갑으로 유출되면서 약 445억 원 규모의 피해가 발생했다. 사고 직후 금융감독원과 금융보안원, 한국인터넷진흥원(KISA) 등이 합동으로 현장 조사에 착수한 상태다. 

“가상자산의 생명은 보안”…금감원, 해킹 원인·재발 위험 집중 점검

이찬진 원장은 출입기자 간담회에서 가상자산 시장의 최우선 과제로 시스템 안정성과 보안을 꼽았다. 그는 업비트 사고를 단순한 기술적 오류가 아닌 이용자 신뢰 훼손 문제로 해석하며, 다음과 같은 방향성을 제시했다.

인포스탁데일리

해킹 발생 경위와 내부 통제 체계 점검

핫월렛·콜드월렛 분리 및 관리 프로세스 실질 점검

사고 대응 속도와 공지 체계에 대한 평가

이용자 자산 보호 조치의 적정성 검토

금감원은 이미 업비트에 검사 인력을 투입해 보안 체계, 재발 위험 요인, 이용자보호법 위반 여부를 중점적으로 들여다보고 있다. 조사 과정에서 위법 사항이 확인될 경우 정식 검사와 제재 절차로 이어질 가능성이 크다. 

6년 만의 대형 사고…2019년 해킹과 ‘데자뷔’

이번 사고가 더 큰 파장을 낳는 이유는 2019년 11월 업비트 해킹과 닮은 점이 많기 때문이다. 업비트는 2019년에도 이더리움(ETH) 34만여 개, 당시 시가 약 580억 원 상당이 외부 지갑으로 유출되는 사고를 겪은 바 있다. 당시에는 북한 연계 해킹 조직의 소행으로 추정된다는 분석까지 나왔다. 

이번에도 사고 발생일이 11월 27일로 동일한 데다, 특정 네트워크(솔라나 계열)를 겨냥해 정교하게 지갑을 턴 방식이라는 점에서 “보안 체계가 6년 전과 크게 달라지지 않은 것 아니냐”는 업계의 비판도 나온다. 

디지털자산 2단계 입법, ‘업비트 해킹’이 보안 규제 키워드로 부상

이 원장은 이번 사태를 계기로 디지털자산(가상자산) 2단계 입법에서 보안 요건과 책임 규정을 대폭 강화하겠다는 뜻도 내비쳤다. 현재 국회를 통과한 1단계 법률인 ‘가상자산 이용자 보호법’은 시장질서 교란, 시세조종, 내부자 거래 등 전통 금융 규제를 중심으로 설계돼 시스템 보안·사이버 리스크 관련 조항은 상대적으로 약하다는 지적을 받아왔다. 이번 업비트 사고를 계기로 논의될 수 있는 보완 방향은 다음과 같다.

보안 인증 및 모의해킹(레드팀) 의무화

거래소별 핫월렛 비중 상한 및 콜드월렛 의무 비율 명문화

사고 발생 시 신속 공지·보고 의무와 지연 시 제재 강화

이용자 자산 손실 발생 시 거래소 부담 범위와 준비금 기준 설정

이 원장은 “현재 법 체계 안에서 제재 수준에 한계가 있다”는 점을 인정하면서도, 입법 단계에서 업비트 사례를 반영해 보안 규제를 더 촘촘히 설계하겠다는 뜻을 시사했다. 

네이버–두나무 빅딜, 금융·가상자산 결합 첫 시험대

이날 간담회에서 네이버파이낸셜과 업비트 운영사 두나무의 합병도 주요 화제로 다뤄졌다. 양사는 주식 교환 방식으로 통합 법인을 출범시키는 계획을 발표한 상태로, 업계에서는 내년 2~3월 전후로 합병 관련 증권신고서 제출이 이뤄질 것으로 보고 있다. 금감원은 이 과정에서 다음과 같은 부분을 집중적으로 점검하겠다고 밝혔다. 

빅테크 기업이 금융시장에 진입했을 때의 시장 지배력과 파급력, 결합 법인의 사업 구조에 충분한 소비자 보호장치와 내부 통제가 설계됐는지, 가상자산 사업과 금융사업의 결합이 현행 ‘금융–가상자산 분리’ 기조와 충돌하지 않는지, 특히 두나무–네이버 결합은 국내 첫 ‘빅테크+가상자산+금융’ 복합 모델이 될 가능성이 커, 향후 다른 플랫폼 기업들의 금융 진출에도 기준점이 될 전망이다. 

스테이블코인·토큰화까지 노리는 빅테크, 규제 공백이 최대 변수

네이버–두나무 합병 법인은 중장기적으로 스테이블코인 발행, 자산 토큰화, 결제 사업 등으로 사업을 확장할 수 있다는 관측이 나온다. 증권가에서는 이번 합병을 “디지털자산 2단계 입법의 최대 수혜주 후보”로 평가하면서도, 규제 불확실성을 최대 리스크로 꼽고 있다. 이찬진 원장 역시 빅테크가 스테이블코인과 결제, 금융 서비스를 한 번에 묶어 내놓는 구상을 공개적으로 언급하며, 다음과 같은 우려를 제기했다는 해석이 나온다. 

예금·결제 기능을 스테이블코인으로 흡수할 경우, 기존 은행 및 카드사와의 규제 형평성 문제

대형 플랫폼이 금융과 가상자산을 모두 장악할 때 생길 수 있는 사실상의 ‘빅테크 금융그룹’ 위험

현행 법·제도 정비가 끝나지 않은 상태에서의 선(先) 사업 확장, 후(後) 규제 정비에 따른 소비자 피해 가능성

업비트, “투자자 손실은 회사가 전액 보전”…그러나 신뢰 회복이 관건

업비트 운영사 두나무는 이번 해킹으로 탈취된 자산 가운데 이용자 몫은 전액 회사 보유분으로 보전하겠다는 입장을 재차 강조했다. 또한 핫월렛 보안 점검과 입금 주소 교체 작업을 진행하며, 순차적으로 디지털자산 입출금을 재개하고 있다. 

그러나 실질적인 피해 보전과 별개로, ‘두 번째 대형 해킹’이라는 꼬리표는 향후 업비트와 국내 가상자산 시장 전반에 부담으로 작용할 전망이다. 투자자 입장에서는 해킹이 일어날 때마다 “결국 회사가 메워 주면 되는 것 아니냐”는 인식이 자리 잡을 수 있고, 이는 보안 투자와 리스크 관리 인센티브를 왜곡할 수 있다는 지적도 나온다. 

규제 강화 vs. 혁신 위축…가상자산 산업의 새 분기점

이번 업비트 해킹과 네이버–두나무 합병 이슈는 **“국내 가상자산 산업을 어디까지 금융 규제 틀 안으로 끌어들일 것인가”**라는 질문을 정면으로 던지고 있다. 투자자 보호와 시스템 리스크 관리 차원에서는 강한 규제와 책임 강화가 요구되고, 한편으로는 디지털자산·토큰경제·스테이블코인 등 새로운 금융 인프라로서의 성장성도 무시하기 어렵다.

이찬진 원장 체제의 금융감독원이 어떤 균형점을 찾느냐에 따라, 한국의 가상자산 거래소와 빅테크 금융 모델은 “규제 친화적 혁신”으로 안착할지, 혹은 “규제 리스크 산업”으로 낙인찍힐지 갈림길에 서게 될 것으로 보인다.