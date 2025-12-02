[헤럴드경제=유동현 기자] 가상자산거래소 업비트 해킹 사태로 일부 이용자 피해가 발생하면서 금융당국의 제재 여부에 관심이 모아진다. 특히 가상자산이용자보호법 시행 후 첫 대규모 해킹 사례라는 점에서 시장은 ‘거래소 1호 사례’가 될지 주목하고 있다. 업비트가 즉각 신고 및 피해 보전 조치를 했지만 사전 대응에 소홀했던 정황이 발견될 경우 제재는 불가피할 전망이다.

1일 금융투자·법조계에 따르면 현장조사를 마친 당국은 업비트를 운영하는 두나무에 대해 특정금융정보법(특금법), 정보통신망법, 가상자산이용자보호법, 개인정보보호법 등 4개법 중심으로 위반 여부를 들여다볼 것으로 관측된다.

특금법과 정보통신망법 상 위반 여부는 통상 해킹 피해 발생 시 기준이 적용된다. 금감원은 특금법에 따라 의심거래보고(STR), 고액현금거래보고(CTR), 고객확인(KYC) 등을 사전에 준수했는지를 살펴본다. 한국인터넷진흥원(KISA)은 정보통신망법에 따라 두나무가 정보보호 인증체계(ISMS)를 갖추고 보호조치를 했는지를 따져본다.

이규철 법무법인 바른 변호사는 “(두나무가) 특금법상 보호조치 의무 위반 사실이 없는지, 시행령에 있는 분별 관리 의무의 요건을 갖췄는지가 관건”이라면서 “전자금융거래법상으로도 보호 조치 의무를 구축해야 되는 만큼 주의 의무를 준수했는지, 시스템 안정을 구축했는지가 우선 금감원 검사를 통해서 밝혀져야 할 사안”이라고 설명했다.

다만 특금법과 정보통신망법 위반으로 보기는 어렵다는 게 법조계의 대체적인 진단이다. 두나무는 가상자산사업자(VASP) 요건을 갖춘 사업자인데다 해킹 사실 발견 직후 금감원과 한국인터넷진흥원에 신고 대응을 했기 때문이다. 해킹 피해 책임에 대해 두 법을 근거로 책임을 묻는 경우도 드물었다.

한 금융전문 변호사는 “두나무가 해킹 신고를 빠르게 한데다 해킹을 특금법, 정보통신망법상 문제로 처벌하기는 어렵다”며 “이와 관련 실질적으로 법적 책임은 크게 없어 보인다”고 했다. 김익현 법무법인 율촌 변호사도 “운영상 과실이나 결함이 발생했다면 특금법상 책임이 불가피하다”면서도 “업비트는 알려진 바로 최고 수준의 보안을 유지하는 회사인 만큼 쉽지 않을 것 같다”고 했다. 황석진 동국대학교 교수는 “정보통신망법상 기업은 관리적, 물리적 기술적인 보완 조치를 하라고 명시됐다”며 “이를 해태했다면 책임을 물을 수 있지만 지금까지 이를 토대로 책임을 물은 적은 거의 없다”고 설명했다.

지난해 시행된 가상자산이용자보호법상 이상거래탐지의무(FDS) 위반 여부를 둘러싸고는 견해가 엇갈린다. 이상거래탐지 위반으로 간주하고 처벌 가능하다는 의견과 해당 조항이 시장 교란행위에 초점을 둔만큼 적용하기 어렵다는 해석이 나온다. FDS에 따르면 가상자산사업자는 가상자산의 가격이나 거래량이 비정상적으로 변동하는 거래 등 이상거래를 상시 감시하고 이용자 보호 및 건전한 거래질서 유지를 위해 조치해야 한다. 소홀한 가상자산사업자에게 시정명령, 경고, 주의, 영업 일부 또는 전부 정지 등 징계처분 및 임직원에 대한 해임권고, 직무정지 등을 내릴 수 있다.

한 금융전문 변호사는 “업비트는 해킹 정황을 발견하고 신속하게 거래를 차단함으로써 고객들의 자산 피해를 막아야 할 의무가 있다”며 “귀책사유를 살펴야겠지만 결과적으로 고객의 자산이 해킹에 의해 유출되는 사태를 막지 못한 것으로 보인다. 감독기관이 징계처분 또는 과태료 처분을 검토할 수 있는 사안”이라고 평가했다. 반면 황 교수는 “가상 이용자 보호법에 있는 이상거래 모니터링은 시장질서 교란 행위에 좀 포커스가 많이 맞춰져 있다”며예 “주의 의무를 해태했다고 보는 데 한계가 있다”고 했다.

배상 문제는 업비트가 선제적으로 대응한 만큼 문제 삼기 어렵다는 평가다. 업비트는 해킹 피해 발견 직후 386억원의 회원 피해액을 보유 자산으로 전액 보전조치 했다. 아울러 업비트가 피해를 입은 자산은 엄밀하게 보면 개인 지갑의 계좌가 아닌 업비트 전체 지갑의 계좌에 해당한다. 거래소에 가입된 개인 계좌는 업비트 전체 계좌에서 관리되는 방식이기 때문이다.

황 교수는 “실제로 이번 해킹은 업비트가 갖고 있는 전체 지갑에서 자금이 빠져나간 사안이기 때문에 개인 입장에서는 해킹 사실을 실질적으로 인지하지 못하고 있을 가능성이 많다”며 “개인 지갑이 아닌 업비트 계좌의 지갑에서 당한 사건인 만큼 선제적으로 대응을 한 배상을 문제 삼기 어렵다”고 했다.