이해진 네이버 의장(왼쪽)과 송치형 두나무 의장. /그래픽=강지호


국내 최대 가상자산 거래소 '업비트'를 운영하는 두나무가 445억원 규모의 대형 해킹 사고를 겪으면서 네이버와 추진 중인 '빅딜'에도 빨간불이 켜졌다는 시각이 많다. 업비트의 보안 관리 부실 우려가 커지는 가운데 두나무 경영진의 대응이 도마 위에 오르며 기업 신뢰도 전반에 금이 갔다는 지적이다. 이커머스 1위 기업 '쿠팡'에서도 개인정보 유출 사태가 일어나 징벌적 손해배상제 논의까지 일고 있어 긴장감이 높아진다.


두나무는 지난달 27일 업비트에서 대규모 가상자산 탈취 피해가 발생했지만 이를 늦게 알리며 비판을 받았다. 이날 오전 4시42분 자사 솔라나(SOL) 기반 지갑에서 지정되지 않은 외부 지갑으로 약 445억원 규모의 가상자산이 전송된 정황을 파악해 45분 뒤인 5시27분 솔라나 네트워크 계열 디지털 자산의 입출금을 차단했고 이어 8시55분 모든 디지털 자산 입출금을 중단했다.

네이버와의 합병 기자간담회를 진행한 뒤 오후 12시33분이 돼서야 해킹 사실을 공지했다. 간담회 참석 예정이던 김형년 두나무 부회장이 해킹 사태를 수습하기 위해 불참했지만 이에 대한 별다른 설명은 없었다. 두나무는 사태를 파악하기 위한 시간이 걸렸다는 입장이지만 피해 규모도 중간에 번복하면서 혼란에 빠진 모습을 보였다. 이번 사고는 2019년 11월27일 일어난 580억원 상당의 가상자산이 유출된 건과 유사하다는 분석이다. 과거 사례에서 헛점을 보인 부분이 개선되지 않아 보안 체계에 근본적인 의문이 든다는 지적이 일었다.


금융감독원은 사고의 진상을 알아내기 위해 현장검사를 시작했고 이찬진 금감원장은 지난 1일 "그냥 넘어갈 수 없는 사안"이라고 공개적으로 언급하며 강도 높은 조사 방침을 예고했다.

지난 7월 디지털자산 이용자보호법(이용자보호법) 시행 이후 첫 대형 피해 사례인 만큼 주목을 받고 있다. 이용자보호법은 가상자산사업자가 ▲이용자 자산의 80% 이상을 콜드월렛(오프라인 지갑)에 보관하고 ▲해킹·전산 장애 등에 대비해 보험·공제 가입 또는 준비금 적립을 의무화한다. '사고 발생 즉시 보고·공시 의무' 등 해킹 사태 관련 규제가 아직 미비한 상태지만 구조적 관리 부실로 규정되면 막대한 과징금이나 중징계가 나올 가능성도 배제할 수 없다는 게 중론이다.


두나무와 네이버 간 합병 심사에도 영향을 줄 수 있다는 관측이 힘을 얻고 있다. 금융과 가상자산의 결합을 예의주시하던 금융당국이 이번 사고를 통해 두나무의 보안 체계 취약점을 발견한다면 합병 이후에도 보안 거버넌스에 대한 의문을 가질 수 있기 때문이다. 승인은 물론 사업 확장에도 제약이 생길 수 있다.

사회 전반에 걸친 보안 경각심도 높아져 두나무로선 난처한 상황에 처했다. 올해 SK텔레콤과 KT, 롯데카드에 이어 넷마블과 쿠팡까지 해킹 사태로 곤욕을 치르고 있는 탓이다. 이재명 대통령은 2일 쿠팡 개인정보 유출 사고를 두고 엄중하게 책임을 물어야 한다고 강조했다. 과징금 제재 수위를 높이고 징벌적손해배상까지 검토하라는 말까지 남겼다.


두나무는 전사적 역량을 동원해 고객 피해 최소화와 재발 방지 대책 마련에 힘을 쏟고 있다. 내부 보안 프로세스를 전면 재점검하는 한편 기존 지갑 주소를 전면 삭제하고 새로운 주소를 발급하고 있다. 피해 금액은 미리 마련해둔 준비금으로 전액 충당할 계획이다.