[Hinews 하이뉴스] 국내 1위 가상자산 거래소 업비트가 445억 원 규모의 해킹 사고 이후 내놓은 재발 방지 대책을 두고 ‘형식적 조치에 불과하다’는 비판이 나오고 있지만, 업계 안팎에서는 이를 지나치게 단선적으로 해석한 평가라는 반론도 적지 않다.
논란의 중심에 선 ‘콜드월렛 99% 보관’은 사고 이전에도 이미 유지되던 수준이라는 점에서 새로울 것이 없다는 지적이 제기됐지만, 이는 곧 업비트가 사고 이전부터 국내 최고 수준의 자산 격리 원칙을 일관되게 적용해 왔다는 방증이기도 하다. 실제로 업비트는 가상자산이용자보호법이 요구하는 콜드월렛 보관 비율(80%)을 훨씬 웃도는 98% 이상을 장기간 유지해 왔고, 이는 주요 국내 거래소 가운데 최상위 수준이다.
논란의 중심에 선 ‘콜드월렛 99% 보관’은 사고 이전에도 이미 유지되던 수준이라는 점에서 새로울 것이 없다는 지적이 제기됐지만, 이는 곧 업비트가 사고 이전부터 국내 최고 수준의 자산 격리 원칙을 일관되게 적용해 왔다는 방증이기도 하다. 실제로 업비트는 가상자산이용자보호법이 요구하는 콜드월렛 보관 비율(80%)을 훨씬 웃도는 98% 이상을 장기간 유지해 왔고, 이는 주요 국내 거래소 가운데 최상위 수준이다. <사진 = 연합뉴스 제공>
특히 이번 사고가 ‘콜드월렛 비중이 낮아서’ 발생한 것이 아니라는 점에서, 콜드월렛 정책을 형식적이라고 단정하는 것은 사건의 본질을 흐린다는 지적도 나온다. 해킹은 필연적으로 온라인에 연결된 핫월렛을 통해 발생할 수밖에 없는 구조적 위험이며, 모든 거래소는 유동성 확보를 위해 일정 수준의 핫월렛 운영이 불가피하다. 문제는 핫월렛을 ‘없애는 것’이 아니라, 사고 발생 시 피해를 얼마나 빠르게 차단하고 책임지느냐에 있다.
이 점에서 업비트의 대응은 업계 평균을 크게 상회한다는 평가가 나온다. 업비트는 사고 인지 직후 해당 네트워크의 입출금을 중단하고, 남은 자산을 신속히 콜드월렛으로 이전했으며, 무엇보다 회원 피해 자산 전액을 자체 자금으로 보전하겠다는 입장을 즉각 공식화했다. 이는 법적 의무가 명확하지 않은 상황에서도 거래소가 책임을 회피하지 않겠다는 선언으로 받아들여진다.
핫월렛과 개인키 관리 구조를 공개하지 않았다는 비판에 대해서도 업계에서는 현실적인 한계를 짚는다. 개인키 접근 인원, 승인 구조, 이상 탐지 방식 등은 거래소 보안의 핵심으로, 이를 외부에 상세히 공개하는 것 자체가 또 다른 공격 벡터를 제공할 수 있기 때문이다. 실제로 고팍스를 제외한 대부분의 대형 거래소가 동일한 이유로 관련 정보를 비공개하고 있으며, 이는 업비트만의 선택이 아니다.
전문가들 역시 콜드월렛 비중 논쟁이 문제의 핵심은 아니라고 본다. 해킹 사고를 완전히 ‘0’으로 만드는 것은 현실적으로 불가능하며, 중요한 것은 사고 이후의 확산 차단 능력, 피해 흡수 능력, 그리고 구조 개선 속도다. 이 기준에서 보면 업비트는 사고를 은폐하거나 축소하기보다, 빠르게 인정하고 수습에 나섰다는 점에서 오히려 국내 가상자산 시장의 책임 기준을 한 단계 끌어올렸다는 평가도 가능하다.
제도적 공백 역시 개별 거래소의 문제라기보다 산업 전반의 과제다. 가상자산 거래소가 전자금융거래법 적용 대상이 아닌 상황에서, 해킹 사고 시 무과실 책임이나 배상 기준이 명확히 규정돼 있지 않은 것은 업비트만의 특수성이 아니다. 이번 사고는 오히려 거래소가 법적 최소 기준을 넘어서 어디까지 책임져야 하는지에 대한 사회적 논의를 촉발했다는 점에서 의미를 가진다는 분석도 나온다.
결국 이번 논란은 ‘업비트의 대책이 충분한가’라는 질문 이전에, 가상자산 거래소에 요구되는 보안과 책임의 현실적 기준이 무엇인가라는 근본적인 문제로 이어진다. 사고 이전부터 최고 수준의 자산 격리 정책을 유지했고, 사고 이후 피해를 전액 책임지겠다고 밝힌 업비트를 두고 ‘형식적 대응’이라는 평가만을 내리기에는, 그 대응의 무게와 비용이 결코 가볍지 않다는 것이 업계의 중론이다.
