한국은 국내 최대 암호화폐 거래소인 업비트에서 약 3,000만 달러 규모의 침해 사고가 발생해 심각한 보안 허점이 드러난 후, 암호화폐 거래소에 은행 수준의 의무를 부과할 준비를 하고 있습니다.
한국의 주요 금융감독기관인 금융위원회(FSC)는 암호화폐 거래소가 무과실 책임, 더욱 엄격한 IT 위험 기준, 확대된 감사 기준, 수익에 따른 벌금 부과에 직면할 수 있다고 밝혔습니다.
11월 27일 업비트 해킹 사건은 북한의 라자루스 그룹에 의해 자행된 것으로 추정되며, 한국 기업과 금융 기관을 표적으로 삼는 AI 기반 사이버 공격이 급증하고 있는 가운데 발생한 사건입니다.
금융 범죄 관리 전문가인 로버트 산체스는 "라자루스 그룹은 자신들이 매우 역동적이며 암호화폐와 같은 새로운 기술이 이미 출시됨에 따라 시대에 맞춰 변화하고 적응할 수 있다는 것을 증명했습니다."라고 말했습니다.
AI를 이용한 사칭
업 비트 공격은 관리자 자격 증명이 손상된 데 따른 것으로 보이며 dent 이는 블록체인 취약점보다는 내부 운영상의 취약점을 시사합니다.
그는 현대의 공격자들이 LinkedIn과 같은 사이트에서 잠재적인 타겟을 "스토킹"하는 데 상당한 시간을 보낸다고 말했습니다.
산체스는 "그들은 관리자를dent심지어 AI를 사용하여 사기 행위를 지원할 수도 있습니다."라고 말했습니다. "그들은 때로는 직원을 사칭하여 정보를 점진적으로 수집하고, 암호화 계정의 보호된 개인 키에 접근하기 위해 역공학을 시도합니다."
깨어나다
이찬진 금융감독원 원장은 업비트의 보안 취약점을 보면 한국이 2024년 7월에 도입된 가상자산 이용자 보호법 2단계 개정을 추진해야 하는 이유를 알 수 있다고 말했습니다. 그는 현행법은 서비스 제공자에게 보안 실패에 대한 전적인 책임을 묻지 않는다고 말했습니다.
금융감독원에 따르면 업비트는 당국에 정보 유출 사실을 알리기까지 6시간을 기다렸습니다. 한국 국회의원들은 업비트가 인터넷 대기업 네이버와의 중요한 합병을 가리지 않기 위해 정보 유출 사실을 늦게 알렸다고 비난했습니다.
이찬진 위원장은 "가상자산의 생명선은 시스템 보안"이라며, 새 개정안은 자본시장법과 유사한 규제 체계를 도입할 것이라고 덧붙였다.
암호화폐 거래소, 강화된 감시에 직면
업비트가 북한 연계 라자루스 그룹의 표적이 된 것은 이번이 처음이 아닙니다. 2019년 11월 26일 해커들은 핫월렛에서 약 4,900만 달러를 훔쳤습니다. 업비트는 사용자 계정에서 손실이 발생하지 않았다고 밝혔습니다.
이번dent 더 광범위한 패턴의 일부입니다. 안랩이 11월 27일 발표한 '2025 사이버 위협 동향 및 2026년 전망' 보고서에 따르면, 작년 10월부터 올해 9월까지 북한 관련 사이버 해킹 활동은 총 86건으로 기록되었습니다.
이재명dent 은 데이터 유출 사고에서 기업 과실에 대한 처벌 강화를 촉구했습니다. 강훈식 비서실장은 업비트가 IT 보안 예산을 임시방편으로 관리하고 사이버 보안 전담 예산을 확보하지 못했다고 비판했습니다.
업비트는 고객의 도난된 자금을 전액 보상할 계획이며, 이번 침해 사고와 관련된 177만 달러 상당의 자산을 동결한 것으로 알려졌습니다. 또한 도난당한 자산의 trac및 회수에 전념할 것이라고 밝혔습니다.
하지만 trac 하는 것은 매우 어렵습니다. 라자루스 그룹은 당국의 추적을 피하기 위해 정교한 도구를 사용하는 것으로 악명이 높기 때문입니다.
금융 범죄 전문가 로버트 산체스는 "암호화폐 믹서는 거래를 뒤섞고 서류 흔적을 끊도록 설계되었습니다."라고 설명했습니다. "라자루스는 이 기술을 익명화하는 데 진전이 있음에도 불구하고 이를 일상적으로 사용하는 것으로 알려져 있습니다."
더욱 가파른 운영 부담
한국은 플랫폼이 침해에 직접적인 책임이 없더라도 거래소가 고객에게 손실을 배상하도록 하는 무과실 책임 원칙을 검토하고 있습니다. 이는 전통적으로 한국의 은행과 금융기관에 적용되는 규정이며, 암호화폐 거래소에는 적용되지 않습니다.
이 규정은 해킹이 발생할 경우 정부가 암호화폐 거래소에 연간 매출의 최대 3%까지 벌금을 부과할 수 있도록 하는 것입니다. 이러한 처벌은 업계가 보안을 더욱 중요하게 여기도록 유도하기 위한 것입니다.
하지만 한국의 암호화폐 산업은 이미 디지털 자산의 상업적 타당성을 찾는 데 어려움을 겪고 있습니다.
Bitcoin 스타트업 Nonce Lab의 CEO인 루이스 코는 " Bitcoin제외한 많은 알트코인은 여전히 명확한 목적이 없으며, 관련 사업들도 부진한 상태입니다."라고 말했습니다. "일부 프로젝트는 투자로 생존하지만, 이는 지속 가능하지 않습니다."
코는 한국이 해킹에 대한 재정적 책임을 거래소에 묻으려는 움직임이 소규모 플랫폼이 시장에서 밀려날 수 있다고 말했습니다.
한국의 암호화폐 시장은 아직 매우 작습니다. 몇몇 대형 거래소를 제외하고 대부분의 암호화폐 기업들은 고객에게 실질적인 가치를 제공하는 데 어려움을 겪고 있습니다.
그는 현재의 암호화폐 규정에 따라 암호화폐 관련 사업체는 암호화폐 거래소와 동일한 엄격한 요건을 충족해야 한다고 말했습니다.
"ISMS(정보보안관리체계) 인증을 유지하는 데 매년 약 1억 원(미화 7만 5천 달러)의 비용이 듭니다. 이 분야의 대부분의 기업가들은 사업을 시작하는 데에도 이 정도 자본이 필요합니다."
한국에서는 주요 온라인 서비스 제공업체가 정보보안관리체계(ISMS)라는 정부 지원 사이버보안 제도를 준수하도록 요구합니다.
고 씨는 한국의 규제 강화로 인한 불확실성이 일부 암호화폐 기업들로 하여금 해외로 눈을 돌리거나 지하 거래를 가속화할 수 있다고 말했습니다. 그는 알트코인 프로젝트들이 불법적인 경로를 통해 토큰을 발행하여 피라미드식 판매 구조와 대규모 투자자 손실을 초래하는 추세를 강조했습니다.
한국이 금융활동기구(FATF)와의 협력을 확대하여 보안 및 AML 규정을 강화함에 따라 2026년 상반기에 입법 개정이 예상됩니다.
로버트 산체스는 위협에 대처하는 데 있어 교육이 진정한 방패 역할을 한다고 말했습니다.
"사칭과 스피어피싱은 공격자들이 사용하는 가장 흔한 전술 중 하나이므로, 이러한 분야에 대한 훈련과 교육은 모든 조직에서 표준 관행이 되어야 합니다."라고 그는 말했습니다. "이러한 위협에 대응하기 위해서는 강력하고 명확하게defi된 내부 절차가 필요합니다."
