전하진 위원장 “첫 심사 준비해나가는 과정…보안사고 일어날 것”
국내 대형 암호화페 거래소를 중심으로 한 12개사가 한국블록체인협회 제1차 자율규제 심사를 통과했다. 내부통제와 보안 시스템을 일정 수준 갖췄다는 의미인데 최근 보안사고가 일어난 빗썸도 규제를 통과했다는 점에서 믿을 수 있냐는 지적이 나왔다. 협회는 통제 수준을 올리기 위한 ‘첫걸음’ 정도로 평가했다.
한국블록체인협회는 지난 4월 확정한 자율규제 심사 결과 DEXCO(한국디지털거래소), 네오프레임, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비코리아 등 12개사가 통과했다고 11일 밝혔다.
자율규제 심사는 ▲암호화폐 이용자 보호 등에 관한 규정 ▲암호화폐 취급업자의 금전 및 암호화폐 보관 및 관리 규정 ▲자금세탁행위방지에 관한 규정 등으로 구성했다. 시스템 안정성과 정보보호에 관한 규정도 담았다.
협회는 지난 4월 총 14개사에 대해 심사를 진행할 예정이었지만 이중 2개사는 평가 심사를 자진철회했다. 대상 회사는 12개사로 줄었다.
전하진 블록체인협회 자율규제위원장은 “첫 심사라 시작하며 준비해나가는 과정이었다”며 “암호화폐 거래소들도 나름 최선의 준비를 다했지만 경험이 부족한 일부 거래소는 어디까지 준비해야 할지 감을 못 잡기도 했다. 최소한의 규제 수준을 안내해 거래소 (내부통제) 수준을 끌어올리는 역할을 했다”고 강조했다.
평가는 ▲재무정보 ▲거래소 이용자에 대한 기본 정보제공 ▲투자 정보제공 ▲민원관리시스템 ▲이용자 자산 보호 ▲거래소 윤리 ▲자금세탁방지 등 일반심사 항목 등을 점검하는 형태로 이뤄졌다. ▲사용자 인증 ▲네트워크 관리 ▲서버 관리 ▲월렛 관리 ▲접근통제 ▲복구 ▲운영 ▲개인정보보호등 보안 분야 점검도 체크리스트 형태로 거래소 답변을 받아 심사했다.
협회는 이번 자율규제 보안성 심사를 통과했다고 해킹을 완벽하게 막아낼 수는 없다고 평가했다. 해킹은 새로운 기법이 계속 개발되기 때문에 이를 막아내는 보안시스템 역시 지속적인 투자 강화가 필요하기 때문이다. 자율규제 심사가 투자자들을 완벽하게 안심시킬 수 없는 이유다.
특히 거래소는 돈이 모여드는 곳이기 때문에 전 세계적으로 해커들의 목표물이 되고 있다. 큰 거래소들도 해커에 속수무책 당했다. 지난달에는 국내 대형 거래소인 빗썸이 해킹됐고 최근에는 중국 대형 거래소인 바이낸스도 해킹으로 피해를 입었다.
전 위원장은 “암호화폐 거래소 해킹 사건이 빈번히 일어나서 투자자들의 우려가 크고 위원회에서 해결할 것이라 기대할 것”이라며 “사고는 앞으로 지속적으로 발생할 것이다. 사고를 완벽하게 막기보다는 이를 제거하려는 노력과 함께 사고 후 대처를 통해 보호하는 방안이 동시에 고려돼야 한다고 생각한다”고 설명했다.
협회는 12개사의 자율규제 심사 통과 의미로 ‘울타리 안에서 위험을 관리하려는 시도의 시작점’ 정도로 부여했다. 전 위원장은 “자율규제 심사를 통과한 12개 업체는 외부의 객관적인 평가를 받고 심사 과정에서 통제 수준을 논의한 곳”이라며 “외부에 상황을 공개하지 않은 거래소들이 훨씬 더 많다. 이들 거래소들은 어느 정도 수준의 보안 프로세스를 갖추고 있는지, 투자자 자산을 보호하며 영업을 하는지 의문이 갈 수 밖에 없다”고 강조했다.
그는 이어 “다른 거래소에 이번 심사 잣대를 들이대 평가를 한다면 절반 이상은 떨어졌을 것”이라며 “거래소들이 다 점검을 받아야 하지만 그렇지 못한 상태에서 노력하고 이해하는 과정으로 봐주면 좋겠다”고 설명했다.
협회는 앞으로 자율규제 평가를 통과하지 못한 거래소들은 회원사 명단에서 제외할 방침이다. 오는 8월 열릴 총회에서 정관을 변경할 예정이다. 블록체인협회 거래소 회원사 23개사 중 이번 자율규제 점검에 참가하지 않은 11개사에 대해서도 8월중 두 번째 심사 과정을 통해 점검할 계획이다. 심사를 통과한 12개사는 매년 정기적 심사를 통해 내부통제 수준에 대한 상황을 추적할 예정이다.