피어테크가 운영하는 가상자산 거래소 '지닥'이 해킹 피해가 발생한 지 만 하루를 훌쩍 넘겨 한국인터넷진흥원(KISA)에 신고한 것으로 드러났다.
11일 한국인터넷진흥원에 따르면 지닥은 지난 10일 오전 10시 49분에 해킹 피해 사실을 신고했다. 지닥 '핫월렛'(hot wallet)에서 해킹 사건이 발생한 시각은 9일 오전 7시쯤으로, 해킹 피해가 발생한 지 약 27시간 49분만에 신고한 셈이다.
지닥이 해킹을 통해 탈취당한 가상자산은 △비트코인 60개 △이더리움 350개 △위믹스 1000만개 △테더(USDT) 22만개다. 피해액은 해킹이 발생했을 때의 시세를 기준으로 약 200억원에 달하는 것으로 추산되며, 지닥이 보관 중인 총자산의 23%에 달하는 양이다.
앞서 지닥은 전날 오전 4시부터 오후 6시까지 거래소를 점검하고 입출금 서비스를 중단했다. 지닥은 이날 사실관계를 파악한 즉시 사이버수사대 및 한국인터넷진흥원 등 유관기관들, 관리 감독기관에 신고했다고 밝혔다.
입출금 서비스를 막고 KISA에 신고한 10일 오전에 해킹사실을 파악했다면, 지닥은 총 보관자산의 4분의 1이 탈취당하는 대형 사고를 상당히 뒤늦게 파악한 셈이 된다. 가상자산 거래소의 24시간 모니터링 체계가 제대로 작동하지 않았다는 의미다.
지닥의 대처는 다른 대형 가상자산 거래소의 해킹 사건 대응과도 대조된다. 가상자산 거래소 업비트는 지난 2019년 11월 27일 오후 1시께 580억원 상당의 이더리움을 탈취당했다. 당시 오후 5시 56분에 공지사항을 통해 이상 거래 사실을 알리며 한국인터넷진흥원에 신고했다고 밝혔다.
해킹 사실을 일찍 인지했더라도 늦게 신고했다면 비판을 피해가기 어렵다. 정보통신망법에 따르면 정보통신 서비스 제공자는 침해사고가 발생하면 즉시 해당 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 한다.
다만 이같은 '늦장 신고'에 대한 구체적 규제가 없다는 점도 문제로 지적된다.
주무부처인 과학기술정보통신부 관계자는 "'즉시'와 관련해서 구체적으로 정해진 시간이 없다"며 "신고하지 않은 경우에만 과태료를 부과하고 있다"고 말했다.
가상자산업계 한 관계자는 "하루가 지나도록 해킹 사실을 파악하지 못했다는 건 상식적으로 이해하기 어렵지만 중소형 거래소다 보니 전담하는 인력이 적어 인지 시각이 늦었을 수 있다고 본다"면서 "조사 결과가 나와보아야 알겠지만, 해킹 방식이 내부 직원으로 위장해 탈취했다면 알아차리기 어려웠을 것"이라고 지적했다.