“콜드월렛 보관 비율 99%” 발표

해킹 이전에도 98% 수준 유지

핫월렛·개인키 대책 ‘부실’ 우려

업비트 “세부 사항 공개는 위험”

2025-12-22 17면

국내 1위 가상자산(암호화폐) 거래소 업비트가 445억원 규모의 해킹 사고 이후 내놓은 재발 방지책을 두고 실효성 논란이 일고 있다. 핵심 대책으로 내세운 ‘가상자산 콜드월렛 99% 보관’이 사고 이전에도 이미 유지되던 수준이어서다. 특히 정작 해킹이 발생한 ‘핫월렛’에 대한 구체적 대응책은 빠져 있다는 지적도 나온다. 콜드월렛은 온라인과 연결되지 않아 안전한 가상자산 금고이고, 핫월렛은 언제든 편하게 거래하기 위해 온라인에 연결한 가상지산 지갑을 뜻한다.21일 서울신문이 이헌승 국민의힘 의원실을 통해 금융감독원에서 확보한 ‘5대 가상자산 거래소 콜드·핫월렛 보관 비율 및 금액’ 자료에 따르면 업비트는 올해 9월과 사고가 발생한 지난달 콜드월렛 비중을 99%로 끌어올렸다. 콜드월렛 비중을 80% 이상 유지하도록 한 ‘가상자산이용자보호법’이 시행된 지난해 7월 이후 98% 수준을 유지해 왔다.가상자산 업계에 정통한 한 관계자는 “온라인에 연결된 자산을 줄여 안전성을 강화하겠다는 업비트의 의도는 알겠지만 콜드월렛 비중을 늘리고 핫월렛 비중을 지나치게 낮추면 단기간에 출금 수요가 몰릴 경우 대응 속도가 떨어질 수도 있다”고 말했다.사고가 직접적으로 발생한 핫월렛 해킹 대책이 부실하다는 우려도 나온다. 사고의 본질로 지목되는 개인키 관리 구조와 관련해 구체적 설명이 부족하다는 지적이다. 이헌승 의원실이 5대 거래소에 개인키 관리 체계를 질의한 결과 고팍스를 제외한 4개 거래소는 개인키 접근 인원 규모, 권한 분리 여부, 다중 승인 적용 여부, 이상 접근 탐지 방식 등에 대해 “보안상 이유로 공개할 수 없다”고 답했다.이와 관련해 업비트 관계자는 “보안 세부 사항을 공개할 경우 공격 설계 단서가 될 수 있는 한계가 있다”고 설명했다. 제도적 공백도 불안을 키우는 한 요인이다. 가상자산 거래소는 전자금융거래법 적용 대상이 아니어서 해킹 사고와 관련한 직접적인 제재나 무과실 책임을 묻기 어렵다. 금융당국도 현행 가상자산이용자보호법을 근거로 위반 여부를 들여다보는 수준에 머물러 있다. 이 법은 콜드월렛 보관 비율 등 최소한의 자산 보호 기준을 담고 있지만, 해킹 사고 발생 시 사업자의 책임 범위와 배상 방식까지 포괄적으로 규정하진 않았다.황석진 동국대 국제정보보호대학원 교수는 “콜드월렛 비중을 높이는 것만으로는 내부자 위험이나 개인키 통제 문제를 해결할 수 없다”며 “핵심은 개인키 접근 권한 관리와 내부 통제, 다중 승인 같은 구조적 통제 체계 마련”이라고 말했다.김예슬 기자