업비트 해킹 445억 쇼크, 투자자가 꼭 점검할 가상자산 보안 7가지

업비트 솔라나 해킹으로 445억 원이 유출되면서 내 코인은 안전한지 불안해지셨죠. 이 글에서는 30대 투자자를 위해 거래소 선택 기준, 가상자산 이용자 보호법, 핫월렛·콜드월렛 분산, 비밀번호·2단계 인증, 피싱 차단, 출금 화이트리스트까지 지금 당장 점검할 보안 체크리스트 7가지를 정리했어요.

 

 

새벽에 “업비트 445억 해킹” 알림 보고 깜짝 놀라셨죠.
“나 업비트 쓰는데… 내 코인은 괜찮은 거야?” 이런 생각부터 들었을 거예요.

11월 27일 새벽, 국내 1위 가상자산 거래소 업비트의 솔라나(Solana) 계열 토큰 약 445억 원 상당이 핫월렛에서 외부 지갑으로 빠져나간 해킹 사고가 발생했어요. 업비트는 처음엔 피해 규모를 약 540억 원으로 안내했다가, 출금 시점 시세를 반영해 445억 원으로 정정했고, “회원 자산 피해는 전액 회사 자산으로 부담하겠다”고 밝혔죠. 

 

또한 2019년 11월 27일에도 업비트 이더리움 34만2000개(당시 약 580억 원)가 유출된 해킹이 있었고, 이 사건은 북한 정찰총국 산하 해커 조직(라자루스·안다리엘) 소행으로 경찰·FBI 공조 수사 결과 잠정 결론이 난 상태예요. 

 

이번 445억 해킹에 대해서도 “북한 소행 가능성이 크다”는 전문가·언론 보도가 있지만, 이 부분은 아직 수사기관의 공식 최종 결론이 아니고, 가능성이 제기된 단계라는 점을 꼭 짚어야 해요. 

 

그래서 오늘 글에서는 팩트는 팩트대로 정리하고, 투자자 기준으로

“지금 내가 당장 할 수 있는 보안 점검 7가지”만 콕 집어서 정리해볼게요.

이 글은 투자·법률·세무 자문이 아니고, 공개된 기사와 공식 문서, 일반적인 보안 권고를 바탕으로 정리한 정보예요.

 

이번 업비트 해킹, 언제, 무슨 일이 있었나?

발생 시각

- 2025년 11월 27일 새벽 4시 42분경, 업비트가 솔라나 네트워크 계열 자산의 비정상 출금을 탐지했다고 공지했어요.

피해 규모

- 처음엔 “약 540억 원 규모 유출”로 안내했다가, 출금 시점 시세 기준으로 다시 계산해 445억 원 상당으로 정정했어요.

어떤 자산이 털렸나?

- 솔라나(SOL), USDC, BONK, JUP, RAY 등 **솔라나 기반 토큰 20여 종(보도에 따라 24~26종으로 표현)**이 핫월렛에서 외부 미지정 지갑으로 이체된 것으로 알려졌어요. 

지금 내 돈은 어떻게 되나?

업비트 운영사 두나무는 “회원 자산에는 피해가 발생하지 않도록 전액 회사 자산으로 충당하겠다”고 밝혔고, 금융감독원·KISA가 현장 점검과 조사에 들어간 상태예요. 

핫월렛 vs 콜드월렛

이번 유출은 인터넷과 연결된 핫월렛에서 발생한 걸로 추정되고,

콜드월렛(오프라인 지갑)은 침해가 없었다고 회사가 설명했어요. 

 

즉,
당장 고객 잔고가 0원이 되는 상황은 아닐 가능성이 크지만,
“한 거래소, 한 지갑에 모든 걸 올인해도 되냐?”라는 구조적 리스크가 다시 확인된 사건이에요.

이제부터는 투자자가 오늘 당장 손쓸 수 있는 것만 집중해서 볼게요.

 

거래소 리스크부터 이해하기– 해킹 이력, 대응 방식, 규제 틀 체크

30대면 보통 국내 거래소 1~2곳 + 해외 거래소 1곳 정도를 병행하는 경우가 많죠(투자 패턴에 따른 일반적인 추측이에요).

이때 제일 먼저 봐야 할 건 “내가 맡겨둔 곳이 어떤 규제·보호 틀 안에 있냐”예요.

 

과거 해킹 이력 & 대응 방식

 

업비트

2019년 이더리움 34만2000개(당시 약 580억 원) 유출 →

회사 보유분으로 전액 충당, 고객 피해는 없었다는 점이 경찰 발표·언론을 통해 알려졌어요. 

이번 445억 사건에서도 “전액 회사 자산으로 충당” 방침을 다시 한 번 밝혔죠. 

 

어떤 거래소를 쓰든, 최소한 아래는 꼭 체크해보는 게 좋아요.

• 과거 해킹 때 고객 피해를 어떻게 처리했는지
• 사고 원인·재발 방지책을 어느 수준까지 공개했는지
• 이번에도 “회원 자산 100% 보전”을 명확히 약속했는지

이건 투자 수익률 문제가 아니라, 최악의 상황에서 내 돈이 어떻게 되는지에 대한 기록이에요.

 

‘가상자산 이용자 보호법’ & 콜드월렛 의무

2024년 7월 19일부터「가상자산 이용자 보호법(Act on the Protection of Virtual Asset Users)이 시행되면서,
한국 거래소는 이용자 자산 보관·보호에 대한 의무가 크게 강화됐어요.

 

대표적으로:

• 이용자 자산 분리 보관
• 이용자 자산의 일정 비율 이상을 콜드월렛(오프라인)으로 보관 (금융위·유관기관 설명에 따르면, 80% 이상을 콜드월렛에 보관하도록 요구하는 취지의 규정·가이드가 포함돼 있어요.) 
• 핫월렛에 대해선 보험 또는 준비금(최소 5%) 의무 

법령과 세부 규정 때문에,
요즘 국내 주요 거래소들은 “콜드월렛 비율, 보험 가입 현황”을 공지나 백서 형태로 어느 정도 공개하는 추세예요.

 

정리

• “거래량 큰 곳이니까 안전하겠지”가 아니라
• “법·규제를 어떻게 지키고 있는지, 사고 나면 실제로 어떻게 보상해 왔는지”를 기준으로 거래소를 보자는 거예요.

계정 보안 1단계 – 비밀번호 & 2단계 인증

해킹 뉴스가 터지면 대부분 “거래소 서버가 뚫렸다”만 떠올리지만,
실제로는 개인 계정 탈취(피싱·유출된 비밀번호 재사용)가 훨씬 더 자주 발생해요.

비밀번호 길이 & 재사용 금지

미국 NIST(표준기술연구소)는 최근 가이드라인에서
“길이 8자 이상, 가능하면 15자 이상의 긴 비밀번호/패스프레이즈”를 권장하고, 복잡한 특수문자보다 길이를 더 중요하게 보자고 이야기해요. 

 

그래서 현실적인 기준으로는:

• 최소 8자 이상 → 가능하면 12~15자 이상
• 이메일·SNS·쇼핑몰과 같은 비밀번호 절대 금지
• 가능하면 패스워드 관리자(패스워드 매니저) 사용 고려

2단계 인증(OTP/MFA) 필수

비밀번호만으론 요즘 공격에 너무 취약해요.
NIST·보안 기관들도 **비밀번호 + 추가 인증(2FA/MFA)**를 강하게 권장하고 있죠. 

 

가능하면:

• SMS 인증보다는 OTP 앱 또는 하드웨어 보안키 사용이 더 안전하다고 보는 의견이 많아요(보안 업계 일반적인 권고에 기반한 추측입니다).
• 로그인 알림(새 기기·새 IP)을 꼭 켜두고, 낯선 로그인 시도 알림이 오면 즉시 비밀번호 변경 + 고객센터 문의하기.

👉 포인트
“긴 비밀번호 + 2단계 인증 + 로그인 알림” 이 세 가지가 개인 계정 해킹을 막는 1차 방어선이에요.

 

피싱 차단 – “내가 먼저 찾은 공식 채널만 믿기”

해킹 사고가 터지면 거의 100% 따라오는 게 있어요.
바로 “피해 보상/환급 사칭 피싱”이에요.

• “업비트 해킹 피해 환급 안내”
• “고객님의 계정이 위험합니다. 아래 링크에서 인증해주세요”

이런 문구로 오는 문자·메일·메신저 링크는 거의 다 피싱이라고 봐도 될 정도예요(일반적인 보안 업계 의견에 기반한 추측이에요).

NIST도 비밀번호 복잡도보다, 피싱·키로깅 등 사람을 노리는 공격이 더 큰 문제라고 보고 2FA와 피싱 주의를 강조하고 있어요. 

 

그래서 원칙은 하나예요.

 

 “내가 먼저 찾아간 공식 채널만 믿기”

• 문자·카톡에 있는 링크는 웬만하면 누르지 않기
• 브라우저 주소창에 직접 upbit.com 입력해서 접속
• 앱도 앱스토어·플레이스토어에서 직접 검색해서 설치/업데이트
• “고객센터” 연락처도 검색·공지에서 다시 확인 후 전화하기

 

핫월렛 vs 콜드월렛 – 장기 보관 코인은 분산하기

이번 해킹은 업비트가 운영하던 솔라나 계열 핫월렛에서 비정상 출금이 발생했고, 이후 자산을 콜드월렛으로 옮기고 입출금 서비스를 일시 중단한 구조예요. 

개념을 한 번만 정리해볼게요.

 

핫월렛(Hot Wallet)

• 인터넷과 연결된 지갑
• 입출금·트레이딩이 편하지만, 네트워크 공격에 노출될 가능성이 상대적으로 큼

콜드월렛(Cold Wallet)

• 오프라인(인터넷 미연결) 상태로 보관하는 지갑
• 사용성이 떨어지지만, 해킹에 상대적으로 강함

가상자산 이용자 보호법·시행령에 따르면,
국내 VASP(거래소)는 이용자 자산의 80% 이상을 콜드월렛에 보관하도록 규정·가이드가 마련돼 있어요. 

 

현실적인 전략(투자자 기준, 권장 시나리오일 뿐 정답은 아니에요)

• 단기 매매·트레이딩 물량 → 거래소 계정(핫월렛 기반)
• 1년 이상 들고 갈 장기 물량 → 본인명의 하드월렛/콜드월렛에 분산 보관                                              시드 구문(복구단어)은 사진, 클라우드 대신 종이, 금고 등 오프라인에 보관

조금 불편해지긴 하지만,
“편리함 100 → 보안 0” 구조를 “편리함 70 → 보안 80” 정도로 바꿔주는 작업이라고 보면 돼요.

 

출금 화이트리스트·한도 – 털려도 한 번에 못 나가게 막기

요즘 거래소들은 대부분 출금 주소 화이트리스트 기능을 제공해요.

화이트리스트란?

“내가 미리 등록한 주소로만 출금되게 잠가두는 기능”이에요.

 

여기에다, “출금 한도”까지 잘 설정해두면 혹시 계정이 털리더라도 한 번에 전액이 나가는 상황을 줄일 수 있어요.

FSC(금융위원회)·보험 관련 문서들을 보면, 한국은 핫월렛에 보관된 이용자 자산에 대해 최소 5% 이상 보험 또는 준비금을 의무화하고, 콜드월렛 비율·핫월렛 관리체계도 함께 규제하고 있어요. 

 

개인 투자자 관점에서는 이렇게 활용할 수 있어요.

1. 자주 쓰는 본인 지갑·다른 거래소 주소만 화이트리스트 등록
2. 화이트리스트 수정 시 OTP + 이메일 인증을 반드시 요구하도록 설정
3. 일일 출금 한도를 평소엔 낮게, 큰돈 움직일 때만 하루 한도를 올렸다가 다시 낮추기

 

디파이·지갑 연동 권한 – 안 쓰는 건 권한 해제(revoke)

메타마스크·팬텀 같은 지갑을 쓰는 분들은
에어드롭 받겠다고, 신규 프로젝트 체험해보겠다고 별별 사이트와 지갑을 연결해놓은 상태일 수 있어요.

문제는, 시간이 지나면서 그중 일부가:

• 해킹당한 서비스가 되거나
• 악성 사이트로 바뀔 수 있다는 거죠.

그래서 주기적으로:

1. 지갑 설정에서 “연결된 사이트 / Connected DApps” 목록 확인
2. 안 쓰는 서비스는 연결 해제 / revoke
3. 특정 토큰에 과도하게 열려 있는 전송 권한(approve)도 취소

이건 거의 “멀티탭에 꽂힌 안 쓰는 전기 코드 뽑기”에 가까운 작업이에요.
한 번 정리해두면, 잠재 리스크가 꽤 줄어들 수 있어요.

 

포트폴리오 리스크 – 한 거래소·한 코인·레버리지 올인 금지

마지막 보안은 사실 “내 포트폴리오 구조”예요.

이번 업비트 사건처럼,

• 거래소가 “전액 보전”을 선언하고
• 금융당국이 감독에 나선다 해도,

보상 시점·시가 기준·책임 범위 등을 두고 시간이 걸릴 수 있고,
모든 거래소가 항상 같은 수준으로 대응하리라고 장담할 수는 없어요. 

 

그래서 최소한:

• 한 거래소에 자산 100% 몰아두지 않기
• 한 코인에 전 재산 걸지 않기
• 선물·마진·레버리지는 “한 번에 계좌가 사라질 수 있다”는 전제에서만 사용하기

이건 수익률 경쟁이 아니라,
“한 번 실수했을 때 인생이 뒤집히냐 아니냐”의 문제에 가까워요.

 

가상자산 보안 셀프 체크리스트

아래 7개 질문에 “예”가 몇 개인지 한 번 세어보세요.

• 내가 쓰는 거래소의 과거 해킹 이력보상방식, 콜드월렛 비율 보험여부
• 거래소·지갑 비밀번호가 다른 사이트와 겹치지 않고, 8자 이상(가능하면 12~15자 이상)인지 확인
• 모든 계정에 2단계 인증(OTP/MFA)를 켜두었나요?
• 최근 3개월 사이에 "해킹 피해 환급", "계정위험" 같은 문구가 들어간 수상한링크를 눌러본 적 없는지
• 1년 이상 보유할 코인 중 일부는 콜드월렛,하드월렛에 분산되어 있는지
• 거래소의 출금 화이트리스트·출금 한도를 내 상황에 맞게 설정해 두었는지
• 특정 거래소·특정 코인·레버리지에 과도하게 몰려있지 않는지

“예”가 절반 이하라면,
이번 업비트 사건을 계기로 보안 리모델링 한 번 해볼 타이밍이에요.

 

 

오늘 내용 핵심 요약 & 출처

1. 2025년 11월 27일 새벽, 업비트 솔라나 네트워크 계열 자산 약 445억 원이 핫월렛에서 외부 지갑으로 유출됐고, 업비트는 최초 540억 원 피해를 445억 원으로 정정하며 “회원 자산 피해는 전액 회사 자산으로 충당하겠다”고 밝혔어요. 매일경제+3디지털투데이+3폴리뉴스 Polinews+3
2. 2019년 11월 27일 업비트 이더리움 34만2000개(당시 약 580억 원) 유출 사건은, 경찰청·FBI 공조 수사 결과 북한 정찰총국 산하 라자루스·안다리엘 소행으로 잠정 결론이 난 상태예요. 이번 445억 해킹도 북한 연루 가능성이 제기되지만, 아직 공식 수사 결과는 아니에요. Reuters+3경향신문+3조선일보+3
3. 한국은 2024년 7월부터 가상자산 이용자 보호법을 시행해, 거래소에 이용자 자산 분리 보관·콜드월렛 80% 이상 보관·핫월렛 자산에 대한 보험·준비금 의무 등을 부과하고 있어요. 이는 해킹 시 이용자 피해를 줄이기 위한 제도적 장치예요. ScienceDirect+6Leeko+6금융위원회+6
4. 비밀번호는 길이 8자 이상(가능하면 12~15자 이상)에, 계정마다 다른 값을 쓰는 것이 NIST 가이드라인에도 맞는 방향이고, 여기에 2단계 인증과 피싱 주의, 출금 화이트리스트·한도 설정, 콜드월렛 분산 보관 등을 더하면 개인 투자자 입장에서 보안 수준을 크게 높일 수 있어요. 뉴욕 포스트+3NIST+3pages.nist.gov+3
5. 보안 수칙(긴 비밀번호, 2FA, 콜드월렛 분산, 디파이 권한 revoke 등)은 특정 거래소 공식 지침이 아니라, 보안 업계에서 널리 권장되는 일반적인 베스트 프랙티스에요. 각자 상황과 리스크 성향에 맞게 선택적으로 적용하시는 게 좋아요. Blockworks+2위키백과+2

이제 “해킹 뉴스가 나올 때마다 공포에 휘둘리는 투자자”가 아니라,
구조를 이해하고 스스로 지킬 줄 아는 투자자 쪽으로 한 걸음씩만 옮겨보면 좋겠어요.