업비트 445억 해킹 사건 정리(2025): 라자루스 ‘의혹’과 핫월렛 보안, 이용자가 지금 확인할 것
※ 먼저 고지 이 글은 투자 권유가 아니라, 사건을 ‘정리’하고 제가 개인적으로 체크하는 보안 포인트를 남긴 기록용 글입니다. 코인 투자는 손실 가능성이 있으며, 이 글은 매수·매도 판단을 대신하지 않습니다.
사실 이런 사건이 터지면 제일 피곤한 게 “카더라”가 너무 빨리 퍼진다는 거예요. 그래서 이번 글은 최대한 단순하게 갑니다. ① 확인된 사실과 ② 추정/의혹(아직 수사 중)을 분리해서 적고, 마지막에는 지금 이용자가 할 수 있는 것만 체크리스트로 정리해둘게요.
한 줄 요약
- 2025년 11월 27일 새벽, 업비트에서 솔라나(Solana) 계열 ‘핫월렛’ 관련 자산이 외부 지갑으로 유출되는 해킹 사건이 발생했고, 피해 규모는 약 445억 원으로 보도됐습니다.
- 업비트는 입출금을 중단하고, 회사 자산으로 고객 피해액 전액 보전 방침을 밝혔다는 보도가 나왔습니다.
- 배후로 ‘라자루스’가 거론되지만, 이는 정부·업계의 유력 의심/분석 단계로 보이며, 확정 표현은 피하는 게 안전합니다.
사건 타임라인
보도에 따르면 업비트는 이상 출금을 인지한 뒤 네트워크별/전체 입출금을 순차적으로 중단했습니다. 구체적인 시각은 기사마다 조금씩 다를 수 있으니, 저는 “흐름”만 정리 할게요
- 이상 징후 포착 → 솔라나 네트워크 계열 자산 중심으로 외부 지갑 이동이 확인
- 솔라나 계열 입출금 중단 → 추가 확산을 막기 위한 조치
- 전체 입출금 확대 중단 → 전반적 점검/조사
- 수사기관·당국과 조사 → 현장 점검 및 경위 파악
관련 보도는 아래 참고 링크에서 확인할 수 있어요.
이번 사건의 핵심 키워드: “핫월렛(Hot Wallet)”
이번 사건을 이해하는 데 가장 중요한 단어가 핫월렛이에요. 제가 이해한 기준으로 아주 간단히 말하면:
- 핫월렛: 인터넷에 연결된 지갑(출금 처리, 입출금 편의 때문에 운영상 필요). 대신 공격 표면(노출 면적)이 넓어질 수 있음.
- 콜드월렛: 인터넷과 분리해 보관하는 지갑(보안에 유리). 대신 운영 편의성은 떨어짐.
거래소는 운영 특성상 핫월렛을 완전히 없애기 어렵고, 결국 관건은 핫월렛에 ‘얼마나’ 두는지, 권한/승인 절차가 얼마나 촘촘한지, 이상 징후 탐지와 차단이 얼마나 빠른지예요.
“라자루스 의혹”은 왜 나왔나(확정이 아니라 ‘의심’ 단계로 이해하기)
이번 사건에서 ‘라자루스’가 언급되는 이유는, 과거 업비트가 큰 해킹을 겪었던 2019년 사건에서 수사기관이 북한 연계 조직을 특정했다고 보도된 바가 있고, 이번 사건이 같은 날짜(11/27)에 발생했다는 점 등이 겹치기 때문으로 보입니다.
다만 여기서 정말 중요한 건, “확정”이라는 말은 아직 이르다는 점이에요. 언론 보도에서도 “유력하게 지목/의심”이라는 표현이 많고, 수사 결과는 시간이 걸릴 수 있습니다.
그래서 저는 글에서도 “라자루스 소행”처럼 단정하지 않고, ‘의혹/의심’이라는 단어를 붙여 쓰는 게 맞다고 봅니다.
업비트/두나무 대응은 어떻게 보나(“보전”과 “투명성”을 분리해서 보기)
보도에 따르면 업비트는 피해액을 회사 자산으로 보전해 이용자 실질 피해를 막겠다고 밝혔고, 이후 피해 자산 추적·동결 관련 후속 기사도 나왔습니다. 예를 들어 2025년 12월 8일자 보도에서는 추적 과정에서 일부 동결이 이뤄졌다는 내용이 있습니다.
저는 이런 사건을 볼 때 평가 기준을 두 개로 나눕니다.
- ① 피해 보전(금전적 결과): 이용자 잔고가 실제로 보호되는지
- ② 공지/설명(투명성): 언제/어떻게/어떤 범위로 알렸는지, 재발 방지 설명이 충분한지
이용자가 “지금 당장” 확인할 것
업비트 이용자 분들이라면, 먼저 확인 해야 하는 순서예요. 어려운 것부터가 아니라, 실수 줄이는 것부터 갑니다.
1) 공식 공지부터 확인
- 앱/웹 공지에서 입출금 중단 네트워크, 재개 일정, 보안 업데이트 안내 확인
- 공식 채널 외의 링크(문자/카톡/텔레그램)는 웬만하면 누르지 않기
2) 내 계정 “출금 기록” 점검
- 내가 요청하지 않은 출금이 있는지 확인
- 최근 로그인 기록/기기 기록 확인(가능하다면)
3) 피싱이 진짜 더 위험하다(사건 직후에 폭증)
이런 사건 이후에는 거의 항상 “보상 신청” “긴급 인증” “자산 복구” 같은 문구로 피싱이 따라옵니다. 저는 이건 단호하게 이렇게 정해둬요.
- 링크로 들어가서 뭘 하게 만들면 99% 의심
- OTP/비밀번호/인증코드 요구하면 즉시 중단
- 확인할 땐 “내가 직접 앱을 켜서” 공지/고객센터로 간다
4) 보안 설정(최소 4개는 ‘기본값’으로)
- OTP(2단계 인증) 필수
- 출금 주소록/화이트리스트 기능
- 비밀번호 변경 + 다른 사이트와 중복 금지
- 사용하지 않는 API 키 삭제(해당자만)
5) 자산이 크면 “거래소 1곳 몰빵”은 리스크
이건 투자 조언이라기보다 보안 관점이에요. 거래소는 편하지만, ‘단일 장애점’이 됩니다. 규모가 커질수록 분산(거래소/보관 방식)을 고민하는 게 자연스럽다고 봐요.
이번 사건이 남긴 메시지 3가지
- “대형 거래소 = 무조건 안전”은 아니다: 규모와 별개로 핫월렛/권한 관리에 허점이 있으면 사고는 난다.
- 사고 이후의 속도와 설명이 신뢰를 좌우: 보전만으로 끝나지 않고, 재발 방지·공지 체계가 중요해진다.
- 보안은 기술 + 거버넌스: 내부 승인 절차, 외부 점검, 상시 감사 같은 운영 시스템이 결국 핵심이다.
개인적으로는, 이용자 입장에서 할 수 있는 건 “완벽한 안전”을 기대하는 게 아니라, 내 계정 보안 습관을 기본값으로 올려두는 것이라고 생각해요. 이게 사건이 터질 때마다 제일 크게 차이를 만들더라고요.
자주 나오는 질문
Q1. 고객 자산은 무조건 안전한가요?
A. “무조건”은 없어요. 다만 보도 기준으로는 회사가 보전을 약속했고, 실제로 이용자 잔고 보호 조치가 진행됐다는 내용이 나왔습니다. 다만 최종 확인은 항상 공식 공지와 내 계정 기록으로 하세요.
Q2. 해킹 때문에 코인 가격이 바로 크게 떨어지나요?
A. 사건의 성격/규모/시장 상황에 따라 다릅니다. 저는 가격 예측보다, 이런 사건 직후에 증가하는 피싱/사칭 리스크를 더 위험하게 봐요.
Q3. 라자루스가 확정인가요?
A. 아직은 “의혹/유력한 의심” 단계로 이해하는 게 안전합니다. 수사 결과를 기다려야 해요.
참고 자료(한국 사이트 2~3개)
- 뉴시스(2025.11.27) 업비트 445억 해킹 종합 보도
- KBS 뉴스(2025.11.27) 업비트 해킹 관련 보도
- 뉴시스(2025.12.08) 피해 자산 추적/동결 관련 후속 보도
함께 보면 좋은 글
