‘합병의 날’ 덮친 445억 해킹…두나무 “전액 보상”, 해외 커뮤니티 “또 털렸다” [코인+]

솔라나 등 20여 종 자산 유출…금융당국 “현장 점검 돌입, 원인 조사 중”

▲ 디지털 해킹을 상징하는 일러스트 이미지. 후드티를 쓴 인물이 이진수(0과 1)가 흐르는 어두운 배경 앞에 서 있으며, 화면 한쪽에는 보안 경고 아이콘이 표시돼 있다.

가상자산 거래소 업비트가 27일 새벽 약 445억 원 규모의 디지털 자산 해킹 피해를 입었다.

이 사고는 두나무와 네이버파이낸셜의 합병 기자간담회가 열린 당일에 발생했다.

새벽 4시 42분, ‘비정상 이체’ 포착…540억→445억 정정

▲ 경기 성남시 분당구 네이버 1784 사옥에 설치된 두나무·네이버페이 공동 브랜드 안내판. 27일 두나무와 네이버파이낸셜은 AI·웹3 기반 글로벌 시장 공략을 위한 합병 계획을 공식 발표했다. 2025.11.27 연합뉴스

업비트 운영사 두나무는 즉시 솔라나 네트워크 기반 입출금 서비스를 전면 중단하고 긴급 보안 점검에 들어갔다.

두나무는 “이날 오전 4시 42분쯤 내부에서 지정하지 않은 외부 지갑 주소로 약 540억 원 상당의 솔라나 네트워크 계열 자산 일부가 전송된 정황을 확인했다”며 “회원 자산 피해는 없도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다.

이후 오후 3시쯤 해킹 규모를 약 445억 원으로 정정하고 “비정상 출금 시점의 시세를 기준으로 환산했다”고 설명했다.

유출된 자산 20여 종…솔라나 생태계 전반 타격

▲ 국내 주요 가상자산 거래소 앱 화면. 왼쪽은 업비트, 오른쪽은 빗썸 시세 페이지로 비트코인·이더리움 등 주요 코인 가격과 거래량이 표시돼 있다. 2025.11.27

이어 “핫월렛(Hot Wallet·인터넷 연결 지갑)에서 해킹이 발생했으며, 자산이 분리 보관되는 콜드월렛(Cold Wallet·오프라인 지갑)은 어떠한 침해나 탈취도 없었다”고 덧붙였다.

유출된 자산은 ▲솔라나(SOL) ▲유에스디코인(USDC) ▲렌더(RENDER) ▲웜홀(W) ▲피스네트워크(PYTH) ▲지토(JTO) ▲주피터(JUP) ▲봉크(BONK) ▲아이오넷(IO) ▲드리프트(DRIFT) ▲레이디움(RAY) ▲오르카(ORCA) 등 주요 토큰을 비롯해 ▲액세스프로토콜(ACS) ▲매직에덴(ME) ▲오피셜트럼프(TRUMP) ▲두들즈(DOOD) ▲펏지펭귄(PENGU) ▲솔레이어(LAYER) ▲후마파이낸스(HUMA) ▲소닉SVM(SONIC) 등 신규 프로젝트 토큰까지 포함됐다.

두나무는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 블록체인(온체인) 상에서 자산 이동을 차단하는 조치를 취했다. 약 23억 원 규모의 솔레이어(LAYER) 토큰은 동결에 성공했으며, 나머지 자산도 추적 중이다.

금융당국·KISA 동시 대응…FIU 제재 여파 속 또 악재보안업계는 “솔라나 네트워크 계열 자산을 관리하던 직원 PC가 악성코드에 감염됐을 가능성”을 주요 원인으로 보고 있다.

금융감독원과 한국인터넷진흥원(KISA)은 해킹 사실 통보 직후 현장 점검에 착수했다. 금융당국 관계자는 “사태 파악을 위해 현장 점검에 바로 돌입했다”며 “피해 경위와 시스템 취약점을 조사 중”이라고 밝혔다.

▲ 가상자산 거래소 업비트 해킹 소식에 대한 해외 커뮤니티 레딧닷컴 이용자들의 반응. 일부 이용자는 “직원 내부 해킹일 가능성이 있다”, “중앙화 거래소(CeFi)가 더 안전하다는 건 허상”이라며 보안 관리 체계를 비판했다. 레딧닷컴

한편 해외 커뮤니티에서도 반응이 이어졌다.

암호화폐 커뮤니티 레딧닷컴에서는 “업비트가 또 털렸다니 믿기 어렵다”는 반응부터 “솔라나 지갑 결함 가능성이 크다”, “중앙화 거래소(CeFi)가 더 안전하다는 말은 농담일 뿐”이라는 비판까지 다양한 의견이 쏟아졌다. 일부는 “직원 내부 해킹 가능성도 배제할 수 없다”고 지적했다.

이번 사고는 업비트에서 6년 만에 발생한 대규모 해킹이다. 지난 2019년 11월 27일에도 약 580억 원 규모의 이더리움(34만 2000ETH)이 익명 지갑으로 유출됐으며, 당시 북한 해커조직 ‘라자루스’와 ‘안다리엘’이 배후로 지목됐다.

‘합병 잔칫날’ 불참한 김형년 부회장

▲ 이해진 네이버 이사회 의장(가운데)이 27일 경기 성남시 분당구 네이버 1784 사옥에서 열린 네이버·네이버파이낸셜·두나무 3사 공동 기자간담회에서 발언하고 있다. 왼쪽부터 박상진 네이버파이낸셜 대표, 최수연 네이버 대표, 이해진 의장, 송치형 두나무 회장, 오경석 두나무 대표. 2025.11.27 네이버 제공

이달 초 업비트는 금융정보분석원(FIU)으로부터 고객확인(KYC) 및 자금세탁방지(AML) 의무 위반으로 352억 원의 과징금과 신규 고객 자산이체 3개월 제한 제재를 받았다.

FIU는 당시 현장 점검에서 KYC 미이행 사례 약 530만 건과 의심거래 보고 누락 15건을 적발했다고 밝혔다.

이날 경기 성남시 분당구 네이버 1784 사옥에서 열린 두나무-네이버파이낸셜 합병 기자간담회에는 이해진 네이버 의장, 송치형 두나무 회장, 최수연 네이버 대표, 오경석 두나무 대표, 박상진 네이버파이낸셜 대표 등 양사 고위 인사가 총출동했지만 김형년 두나무 부회장은 불참했다.

“전액 보상, 순차적 서비스 재개”최근 ‘디콘(D-CON) 2025’ 콘퍼런스에서 대외 행보를 재개한 김 부회장이 돌연 자리를 비운 이유를 두고, 업계는 “해킹 대응 컨트롤타워 역할을 맡은 것 아니냐”는 관측을 제기했다.

두나무는 “행사 전 해킹 정황을 인지했으나 상황 파악 후 공지하는 과정에서 발표가 늦어졌을 뿐 간담회 일정과는 무관하다”고 설명했다.

두나무는 “회원 자산 피해는 없으며, 회사 자산으로 전액 보상할 계획”이라며 “안전성이 확보되는 대로 입출금 서비스를 차례대로 재개할 예정”이라고 밝혔다.

이번 피해액은 두나무의 3분기 순이익(2390억 원)의 약 18.6%에 해당한다.

윤태희 기자