블록체인의 안정성, 과연 믿어도 될까?

Dec 4. 2025

블록체인의 안정성, 과연 믿어도 될까?

지난 11월 27일, 국내 최대 가상자산 거래소인 업비트에서 약 445억 원 규모의 디지털 자산이 유출되는 사고가 발생했다. 업비트 측에 따르면 솔라나(SOL)를 포함한 솔라나 네트워크 기반 자산 24종(오피셜트럼프 등)이 외부 지갑으로 비인가 출금된 것으로 파악됐다.

업비트는 사고 직후 솔라나 관련 입·출금을 중단하고, 잔여 자산을 콜드월렛으로 이관했으며, 고객 손실분은 회사 자산으로 전액 보전하겠다고 밝혔다. 이번 사건은 2019년 34만2천 ETH(당시 약 580억 원 추산)가 유출된 해킹 이후 업비트에서 발생한 두 번째 대형 사고다.

사건이 알려지자 “블록체인은 해킹이 안 된다더니 믿을 수 있나”라는 의문이 다시 제기됐다. 다만 구체적인 경위를 살펴보면, 블록체인 자체보다는 ‘핫월렛’과 개인 키 관리 등 운영 보안 영역의 문제에 가깝다.

유출의 원인: 블록체인보다 ‘핫월렛’과 개인 키 관리

업비트와 보안 분석 업체들의 설명에 따르면, 이번 공격은 인터넷과 연결된 **솔라나 핫월렛(hot wallet)**을 노린 해킹에 해당한다. 핫월렛은 거래 편의를 위해 온라인 상태로 유지되는 지갑으로, 거래소는 유동성을 위해 전체 자산 중 일부를 핫월렛에 보관한다.

2024년 7월 시행된 「가상자산이용자보호법」과 후속 시행령은 가상자산사업자(VASP)에 대해 다음을 의무화하고 있다.

이용자 가상자산의 80% 이상을 콜드월렛(오프라인 지갑)에 보관

이용자 자산과 회사 고유 자산의 분리 보관

해킹 등에 대비한 보험 또는 준비금(핫월렛 보관액의 일정 비율 이상) 마련

이번 사고에서도 업비트는 전체 고객 자산의 대부분을 콜드월렛에 보관하고 있었고, 유출된 자산은 솔라나 핫월렛에 보관 중이던 일부였다.

보안 분석 결과, 핫월렛의 개인 키 생성 과정에서 사용된 난수 생성기의 취약점이 악용됐다는 평가가 나오고 있다. 개인 키는 지갑에 접근할 수 있는 일종의 “마스터 비밀번호”로, 이 키가 유출되거나 예측 가능해지는 경우 해커는 합법적인 소유자인 것처럼 거래를 전송할 수 있다.

또한 한국 당국과 해외 보안 기관은 이번 공격 배후로 북한 연계 해킹 조직 ‘라자루스 그룹(Lazarus Group)’이 연루됐을 가능성을 수사 중이다.

정리하면,

블록체인 합의 구조나 분산 원장이 직접 뚫린 것이 아니라,

거래소가 운영하던 핫월렛의 개인 키 생성·관리 과정에서 보안 취약점이 노출된 사례에 해당한다.

블록체인 자체는 이번 사건과 직접 관련이 없다

블록체인은 거래 내역을 블록 단위로 묶어, 각 블록에 이전 블록의 해시값을 포함시키며 체인 형태로 연결하는 분산 원장 구조를 가진다. 어느 한 블록의 데이터가 바뀌면 이후 모든 블록의 해시값이 달라지기 때문에, 위·변조 여부가 쉽게 드러난다.

또한 동일한 원장이 전 세계 여러 노드에 복제·저장되고, 합의 알고리즘을 통해 각 노드가 서로의 데이터를 검증한다. 이 때문에 이미 확정된 블록체인 데이터를 선택적으로 수정하거나, 자산 수량을 임의로 늘리기는 매우 어렵다고 평가된다.

이번 사건에서 해커는

블록체인 기록을 조작한 것이 아니라,

탈취한 개인 키로 정상적인 형식을 갖춘 출금 거래를 전송했다.

블록체인 네트워크는 서명과 조건이 유효한 한, 그 거래를 정상적으로 처리한다. 따라서 사건의 본질은 네트워크 설계가 아니라, 키 관리와 지갑 운영이라는 상위 레이어의 보안 문제로 보는 것이 적절하다.

중앙화 거래소 구조와 보안 리스크

전문가들은 반복되는 거래소 해킹의 구조적 배경으로, 가상자산을 중앙화된 사업자에 집중시키는 현재의 거래 구조를 지적한다.

퍼블릭 블록체인은 자산이 수많은 개인 지갑에 분산되어 있는 구조라, 공격자가 네트워크 전체의 상당 부분을 장악하지 않는 이상 광범위한 조작이 어렵다.

반면 거래소는 고객의 코인을 한 곳에 모아 관리하는 집중형 보관소(custody) 역할을 수행한다.

이 때문에 해커 입장에서는 “거래소·커스터디 사업자 1곳의 지갑 또는 키 관리 시스템을 성공적으로 침해하면 다수 이용자의 자산에 동시에 접근할 수 있는 구조” 가 형성된다. 이런 이유로, 국제적으로도 거래소의 콜드월렛 비율, 자산 분리, 보험·준비금, 내부통제를 강화하는 규제가 확대되는 추세다.

한국의 「가상자산이용자보호법」 역시 이와 같은 맥락에서

콜드월렛 비율 요건(80% 이상),

준비금 및 보험 요건,

불공정거래 행위 규제와 감독권 부여 등을 통해 거래소의 시스템 리스크를 줄이려는 목적을 갖고 있다.

가상자산 거래의 핵심 특성: ‘비가역성’과 ‘자동화’

가상자산 거래에서 자주 언급되는 핵심 키워드는 ‘비가역성(irreversibility)’이다.

한 번 블록체인에 기록·확정된 거래는 카드 결제 취소나 계좌 이체 반환처럼 제3자의 개입으로 쉽게 되돌리기 어렵다.

기술적으로 가능한 경우(체인 포크 등)라도, 네트워크 전체가 동의해야 하므로, 현실적으로 거의 사용되지 않는다.

이 특성은 거래 내역 변조를 어렵게 만들어 데이터의 무결성을 높이는 장점이 있지만, 동시에 사고·해킹·오입력 등으로 발생한 전송을 사후적으로 되돌리기 극히 어렵게 만든다는 한계도 가진다.

또 다른 중요한 요소는 ‘자동화(automation)’다.

스마트 계약(smart contract)은 특정 조건이 만족되면 자동으로 실행되도록 코딩된 프로그램으로, 중개자 개입 없이 자산 전송·교환·배분 등을 처리한다.

이 자동화는 거래 과정의 투명성과 효율성을 높이는 수단이지만, 계약 코드에 취약점이 있거나, 잘못된 입력·설계가 있을 경우 오류가 자동으로 대량 전파될 수 있다는 위험도 함께 가진다.

이번 업비트 사고는 스마트 계약 해킹 사례는 아니지만, 비가역적인 거래 특성 때문에 탈취된 자산을 온체인에서 바로 되돌리기 어려웠다는 점에서 이 두 특성이 보안 사고에서 어떻게 작동하는지 간접적으로 보여준다.

네이버–두나무 합병 구도와 이번 사고

사고가 발생한 같은 날, 네이버파이낸셜은 업비트 운영사 두나무를 약 15.1조 원 규모의 주식 교환 방식으로 인수하는 계약을 발표했다.

주요 내용은 다음과 같다.

네이버파이낸셜이 두나무 1주당 자사 주식 2.54주를 교부하는 조건으로 지분을 취득

거래가 마무리되면 네이버 그룹은 국내 최대 가상자산 거래소를 포함한 디지털 자산·핀테크 인프라를 확보

네이버, 네이버파이낸셜, 두나무는 향후 5년간 AI·웹3 생태계 조성을 위해 총 10조 원을 투자하겠다고 발표

해킹 사고는 이 인수·투자 발표와 거의 같은 시점(11월 27일 새벽)에 발생했다. 이후 보도에 따르면, 인수 발표 직후 업비트의 비정상 출금 사실이 공개되면서 네이버 주가가 단기적으로 조정을 받았으나, 업비트와 두나무는 고객 손실 전액을 자체 부담으로 보전하고, 이번 사건을 계기로 보안 체계를 전면 점검하겠다고 밝혔다.