[서울이코노미뉴스 박희만 기자] 국내 최대 디지털자산거래소 업비트에서 445억원 규모의 해킹사고가 발생했음에도 금융당국이 제재를 가할 법적 근거가 없어 ‘제도 공백’ 논란이 확산하고 있다.
가상자산 2단계 입법이 지연되는 사이 사고가 터지자 뒤늦게 대책을 논의하는 ‘사후약방문’식 대응이 반복되고 있다는 비판이다.
9일 가상자산 업계에 따르면 업비트가 해킹 발생후 금융감독원에 사고 사실을 보고한 시점을 두고 ‘늑장 보고’ 논란도 불거졌다.
업비트 해킹은 지난달 27일 오전 4시42분부터 5시36분까지 약 54분간 이어졌다. 이 과정에서 솔라나 계열 코인 24종, 총 1040억6470만여개가 외부 지갑으로 유출돼 피해규모는 445억원에 달한다.
업비트는 해킹 시도를 인지한지 18분만에 긴급회의를 열고 자산 입출금을 중단했다. 하지만, 금융감독원에 첫 보고가 이뤄진 시점은 오전 10시58분으로, 사고 인지후 6시간이 지난 뒤였다.
이번 사고는 기존의 전송과정 해킹방식과 달리, 개인 키(지갑 비밀번호)가 유출됐을 가능성이 제기되면서 심각성이 더욱 커지고 있다.
문제는 현행법 하에서 업비트에 책임을 물을 수 있는 근거가 사실상 없다는 점이다.
전자금융거래법은 전자금융업자에게 무과실 책임을 부과하고 있으나, 가상자산사업자는 적용대상에 포함되지 않는다.
이로 인해 해킹·전산 사고에 대한 제재나 배상 의무를 강제할 규정이 없는 상태다.
이와 관련해 금융당국은 현재 마련중인 ‘가상자산 2단계 입법안’에 가상자산사업자에게도 해킹 및 전산 사고시 무과실 배상책임을 부여하는 방안을 추진하고 있다.
무과실 책임은 고의나 과실 여부와 상관없이 사업자가 손해배상 책임을 지도록 하는 제도다.
앞서 이찬진 금융감독원장은 지난 1일 “제재 권한에 한계가 있지만, 이번 사안을 그냥 넘길 수는 없다”며 “2단계 입법 과정에서 시스템 보안강화와 추가점검이 이뤄질 것”이라고 언급한 바 있다.
금융위원회는 지난 2023년 6월 1단계 법안인 ‘가상자산이용자보호법’을 제정해 지난해 7월 시행했으나, 제정 2년·시행 1년이 지난 현재까지도 2단계 법안은 마련되지 않은 상태다.
업계는 1단계 법 제정 당시부터 2단계 법안의 조속한 마련을 지속적으로 요구해왔다.
1단계 법안이 이용자 보호와 거래소 중심의 불공정거래 규제에만 초점을 맞춰 ‘반쪽짜리 법’에 그쳤다는 지적이 이어졌기 때문이다.
그럼에도 정부는 아직까지 2단계 입법을 위한 정부안을 제출하지 못하고 있으며, 국회는 제출기한을 10일까지로 못박은 상황이다.
2단계 법안은 발행·유통·공시·규제 등 가상자산 시장전반을 포괄하는 내용이 담길 것으로 예상된다.