입력 : 2026.01.12 06:00
[코인 1000억개 해킹 면죄부 받은 두나무 집중탐구] ① 쿠팡은 기업 존폐기로, 두나무는 면죄부
‘코인 1000억개 ’ 해킹, 늑장 공지에도 현행법상 ‘제재 공백’
개인정보 3300만개 유출된 쿠팡은 ‘죽이기’…영업정지도 거론
1년4개월만에 면허 갱신 아이러니…네이버 합병으로 ‘핀테크 공룡’
‘코인 1000억개 ’ 해킹, 늑장 공지에도 현행법상 ‘제재 공백’
개인정보 3300만개 유출된 쿠팡은 ‘죽이기’…영업정지도 거론
1년4개월만에 면허 갱신 아이러니…네이버 합병으로 ‘핀테크 공룡’
[땅집고] 누적 사용자 1326만명에 달하는 국내 최대 가상자산거래소 ‘업비트’의 운영사 ‘두나무’가 최근 가상자산사업자(VASP) 면허 갱신을 완료했다. 445억원어치, 1000억개 코인이 외부로 유출되는 대규모 해킹사고가 발생했고, 이마저도 ‘늑장’ 공지했으나, 납득할 만한 제재 없이 면허 갱신에 성공한 것이다.
3370만명의 개인정보가 유출된 이커머스 기업 쿠팡이 정치권의 압박, 경찰의 수사, 유통업계 소비자들의 일명 ‘탈팡’ 운동 등으로 위기를 맞은 것과 대비된다. 더군다나 두나무는 포괄적 주식교환을 거쳐 네이버파이낸셜의 자회사로 편입돼 ‘핀테크 공룡’ 탄생을 앞두고 있는 터라 보안 문제에 대한 가상자산 투자자들의 불안감이 커지고 있다.
◇ 1000억개 털려도 제재 공백, 3300만개 털린 쿠팡은 죽이기
가상자산 업계에 따르면, 금융위원회에서 마련한 ‘디지털자산기본법’(가상자산 2단계법) 조율안에 가상자산거래소의 해킹 사고에 대한 책임 강화 방안이 포함됐다. 해킹, 보이스피싱 등 고의나 과실이 없는 사고 관련 무과실 손해배상책임을 부과하고, 매출액의 10% 과징금을 도입하는 내용이다.
업계 관계자는 “지난해 11월 발생한 업비트에서 발생한 약 445억원 규모의 대규모 해킹 사고가 발생했음에도 현행법상 제재하거나 배상을 강제할 제도가 없다는 문제가 지적되며 관련 내용이 2단계법에 추가됐다”면서도 “다만 업비트가 관련 제재를 소급 적용받을 가능성은 희박하다”고 밝혔다.
국회 정무위원회 강민국 국민의힘 의원실에 따르면, 업비트는 지난 11월 27일 오전 4시42분부터 오전 5시36분까지 54분간 솔라나 계열 24종 코인 1040억6470만개(약 445억원)가 알 수 없는 외부 지갑으로 빠져나가는 해킹 공격을 받았다. 2019년 11월 27일 580억원 규모의 이더리움 34만여개가 익명 계좌로 유출되는 사고가 발생한지 딱 6년만의 일이다. 이는 국내 기준 역대 최대 규모 가상자산 해킹 사고였다.
업비트 측은 해킹 시도 인지 18분 만에 긴급회의를 열고 입출금 중단 조치를 취했지만 금융당국 신고와 고객 공지를 일부러 지연시켰다는 의혹을 받고 있다. 이날 오전 10시50분경 진행된 업비트 운영사 두나무와 네이버파이낸션 합병 기자회견을 고려해 늑장 신고했다는 것이다.
☞경매 초보도 돈버는AI 퀀트 나왔다…땅집고옥션, 백발백중 투자법 제시
금융감독원 등 당국에서 업비트에 대한 현장 점검을 진행했으나, 중징계를 피해갈 전망이다. 현행법상 가상자산사업자 해킹 사고에 대한 제재 규정이 없기 때문이다. 지난해 제정된 ‘가상자산 이용자보호법’(1단계법)에도 해킹 관련 조항이 없다.
이와 비슷한 시기 대규모 개인정보 유출 사고로 궁지에 몰린 쿠팡에 대한 정부, 정치권의 대응과는 정반대 모습이다. 지난해 11월 6일 쿠팡은 퇴사한 전 직원에 의해 3370만개의 회원 정보가 대량 유출되는 해킹 피해를 입었다.
쿠팡은 정보 유출 관련해 청문회가 열리고, 공정거래위원회 측은 영업정지 카드까지 거론하며 전방위적인 압박을 받고 있다. 여기에 노동자 과로사 은폐 의혹 사건 등 쿠팡의 고질병으로 지적받는 노동 문제까지 불거졌다.
◇ 해킹 사고 직후 1년4개월 끌던 면허 갱신 완료
제재 공백 속에서 두나무는 금융당국으로부터 VASP 면허 갱신을 승인받으며 사실상 ‘면죄부’를 받았다는 비판이 나온다. 지난 12월 23일 금융정보분석원(FIU)은 두나무가 2024년 8월 제출한 먼허 갱신 신고서를 수리했으며 수리증을 교부했다.
VASP 갱신은 신고는 특정금융정보법에 따라 거래소들이 3년 마다 거쳐야 하는 절차다. 투자자 보호, 자금세탕방지, 시장 신뢰도 제고 등을 위한 것으로, 보안관리체계 인증, 실명 계좌 확인, 대주주 자격 요건 심사 등이 핵심 요건이다.
FIU는 2024년 8월부터 두나무에 대한 현장검사를 진행해 고객확인의무 위반, 거래제한 의무 위반, 의심거래 미보고 등 위법행위 약 860만건을 적발했다. 이에 2025년 12월 6일 제재심의위원회를 열어 총 352억원의 과태료를 부과하기로 결정했다. 특금법 시행 이후 가상자산사업자 제재 중 가장 큰 금액이다.
하지만 최근 일어난 해킹 사고로 인한 여파는 전무하다. 업계에서는 두나무 측이 피해액 445억원 중 고객 자산 386억원을 자체 자산으로 전액 보전하는 조치를 하면서 오히려 제재의 명분이 약해진 것으로 분석한다.
다만 일각에서는 해킹 사고가 네이버파이낸셜과 합병에 대한 금융감독원의 심사에 악영향을 미칠 것이라는 우려가 있다. 이찬진 금융감독원장은 지난 1일 업비트 사고에 대해 “그냥 넘어갈 수 있는 성격의 것은 아니다”라며 “가상자산과 관련해 가장 중요한 시스템 보안에 관한 신뢰를 위협하는 문제가 발생한 만큼 2단계법 입법 시 보완, 강화가 필요한지 추가 점검할 것”이라고 말했다. /raul1649@chosun.com
쿠팡은 정보 유출 관련해 청문회가 열리고, 공정거래위원회 측은 영업정지 카드까지 거론하며 전방위적인 압박을 받고 있다. 여기에 노동자 과로사 은폐 의혹 사건 등 쿠팡의 고질병으로 지적받는 노동 문제까지 불거졌다.
◇ 해킹 사고 직후 1년4개월 끌던 면허 갱신 완료
제재 공백 속에서 두나무는 금융당국으로부터 VASP 면허 갱신을 승인받으며 사실상 ‘면죄부’를 받았다는 비판이 나온다. 지난 12월 23일 금융정보분석원(FIU)은 두나무가 2024년 8월 제출한 먼허 갱신 신고서를 수리했으며 수리증을 교부했다.
VASP 갱신은 신고는 특정금융정보법에 따라 거래소들이 3년 마다 거쳐야 하는 절차다. 투자자 보호, 자금세탕방지, 시장 신뢰도 제고 등을 위한 것으로, 보안관리체계 인증, 실명 계좌 확인, 대주주 자격 요건 심사 등이 핵심 요건이다.
FIU는 2024년 8월부터 두나무에 대한 현장검사를 진행해 고객확인의무 위반, 거래제한 의무 위반, 의심거래 미보고 등 위법행위 약 860만건을 적발했다. 이에 2025년 12월 6일 제재심의위원회를 열어 총 352억원의 과태료를 부과하기로 결정했다. 특금법 시행 이후 가상자산사업자 제재 중 가장 큰 금액이다.
하지만 최근 일어난 해킹 사고로 인한 여파는 전무하다. 업계에서는 두나무 측이 피해액 445억원 중 고객 자산 386억원을 자체 자산으로 전액 보전하는 조치를 하면서 오히려 제재의 명분이 약해진 것으로 분석한다.
다만 일각에서는 해킹 사고가 네이버파이낸셜과 합병에 대한 금융감독원의 심사에 악영향을 미칠 것이라는 우려가 있다. 이찬진 금융감독원장은 지난 1일 업비트 사고에 대해 “그냥 넘어갈 수 있는 성격의 것은 아니다”라며 “가상자산과 관련해 가장 중요한 시스템 보안에 관한 신뢰를 위협하는 문제가 발생한 만큼 2단계법 입법 시 보완, 강화가 필요한지 추가 점검할 것”이라고 말했다. /raul1649@chosun.com