주메뉴바로가기 본문바로가기

시사저널

2018년 11월 17일 [Sat]

KOSPI

2,092.4

0.21% ↑

KOSDAQ

690.18

1.29% ↑

KOSPI200

271.65

0.04% ↑

SEARCH

시사저널

금융

보안 허술한 가상통화거래소, 또다른 '유빗' 널려 있다

국내 1위 빗썸도 해킹에 개인정보 대량 유출…영세 스타트업은 투자여력조차 없어

그래픽 = 김태길 디자이너

국내 가상통화 거래소를 상대로한 연이은 해킹과 파산 사태에 보안업계는 터질 게 터졌다는 반응이다. 가상통화 시장이 폭발적 인기로 급성장하는 동안 이를 취급하는 거래소 보안 시스템은 강화되기는 커녕 되레 점점 취약해진 탓이다. 거래소가 워낙 짧은 기간에 외형이 급격하게 커져 보안이 취약할 수 밖에 없는 구조라는 지적이다.

 

이번에 파산한 유빗 해킹에 앞서 빗썸 등 다른 거래소 역시 해킹 시도가 잇달아 거래소 해킹 위험은 더욱 커지고 있다.

 

유빗은 지난 4월에도 해킹을 당한 바 있어 문제의 심각성을 더한다. 두차례 해킹을 당한 여파로 유빗은 결국 파산에 이르렀다. 거래소가 규제 사각지대에 놓여 있다는 근본적인 문제에 대한 해결방안이 시급하다는 지적이다.

 

가상통화 거래소, 해커 새로운 먹이감?

 

유빗은 첫 번째 해킹 이후 보안 강화에 나섰지만 또다른 해킹 피해를 막기는 역부족이었다. 사실 이번에 유빗 해킹이 크게 부각됐을뿐 가상통화 거래소 해킹 사고 위험은 널려 있다.

 

앞서 국내 최대 거래소 빗썸 역시 개인 정보 36000여건이 유출되는 해킹 사고를 겪었다. 빗썸은 최대 거래소라 파장이 컸다. 방송통신위원회는 최근 빗썸에 과징금 4350만원과 과태료 1500만원 등 총 5850만원을 부과했다. 지난 4월 발생한 유빗 해킹 사건은 아직 수사중이다.

 

빗썸 사건 역시 해커 실체에 대해 밝혀진 바가 없다. 범인을 밝혀내기도 전에 새로운 해킹이 줄 잇고 있는 상황이다.

 

문제는 거래소 해킹 위험이 더욱 커질 것으로 전망된다는 점이다. 가상통화 자체는 블록체인 기반이라 분산 저장돼 비교적 보안에 강하다. 하지만 전자지갑과 회원 정보 등은 거래소 자체에 저장되는 정보다.

 

자금력이 영세한 거래소는 개인정보와 자산정보 보안에 큰 투자를 할 수 없는 환경에서 등록만 하면 사업이 가능하다보니  거래소가 우후죽순 생겨나면서 위험이 눈덩이처럼 커지고 있다. 

 

금융위원회가 가상통화 거래소는 금융기관이 아니라며 손을 놓고 있는 가운데 인터넷 기업 담당 부처인 과학기술정보통신부가 점검에 나서는 형편이다. 과기정통부는 지난 9월말부터 거래소 해킹 위험 방지 차원에서 주요 거래소 보안 점검을 진행했다. 당시 점검 대상이었던 거래소들은 모두 보안에 취약했던 것으로 알려졌다.

 

KISA 관계자는 당시 업계 1위인 빗썸도 보안에 대한 지적을 받았다상황이 더 안좋은 곳도 많다며 해킹 확산 가능성을 우려했다.

 

과기정통부, 업체 동의 받아야 보안 점검 가능해

 

가상통화 거래소는 막대한 금액이 오가지만 이를 보호할 규제가 전무한 실정이다. 특히 거래소 보안을 책임질 기관이 모호하다. 금융위원회는 거래소는 정식 금융기관이 아니라며 손을 놓고 있다.

 

현재 가상통화 거래소 보안점검은 과기정통부 소관이다. 그러나 이 역시도 업체 동의를 받아야 한다. 업체 동의가 없다면 규정상 점검이 불가능하다. 이 가운데 대다수 거래소는 이제 막 사업을 시작했거나 규모가 작은 기업이 태반이라 보안 투자 여력은 물론 보안 의식마저 취약한 실정이다.

 

일부 대형 거래소는 정보보호관리체계(ISMS) 의무 대상자다. 정보통신망법 47조에 따르면 전년도 매출 100억원, 지난 3개월 동안 1일 평균 이용자수가 100만명 이상이었다면 ISMS에 의무적으로 가입해야 한다. 그러나 매출 100억원 미만 영세 거래소들이 많아 여전히 규제 사각지대에 놓인 거래소가 많다.

 

결국 투자자 보호는 업계 자율규제와 투자자 개인의 각별한 주의에 의존해야 하는 상황이다.

 

한국블록체인산업협회 공동준비위원회는 거래소 운영 회사는 20억원 이상 자기자본을 보유하고 금융업자에 준하는 정보보안시스템, 내부 프로세스, 정보보호인력과 조직을 운영하라는 내용의 규제안을 마련했다.

 

KISA도 가상통화 거래소 보안 지원 방안을 마련중이다. 보안 컨설팅 등과 침해사고 대응 요령 등 자문 서비스를 제공할 계획이다. 하지만 거래소 보안 문제를 책임지고 감독할 정부 관리 체계에 대한 대책은 아직 나오지 않은 상황이다. 


<저작권자 © 시사저널e 무단 전재 및 재배포 금지>

prev
next