세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
암호화폐 거래소, 해킹에 투명성 논란까지 ‘위태위태’
  |  입력 : 2018-06-22 12:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
야피존·코인이즈·유빗·코인레일, 빗썸 등 암호화폐 거래소 줄줄이 해킹... 안전성 논란
과기부 점검시 보안 문제 줄줄이 발견... 점검 통해 독려할 뿐 행정처분 등 규제 불가능
손해배상 의무화 등과 함께 정부도 암호화폐 인정 여부에 입장 보여야


[보안뉴스 김경애 기자] 암호화폐 거래소들의 연이은 해킹 소식에 거래소를 규제해야 한다는 목소리가 갈수록 커지고 있다. 특히, 이번 빗썸 해킹 사건으로 암호화폐 거래소가 도마 위에 오르며 보안 이슈를 비롯해서 안전성 및 투명성과 관련된 그간의 여러 문제들이 봇물 터지듯 제기되고 있다.

[이미지=iclickart]


1. 거래소의 보안성 미흡, 계속 제기
암호화폐 거래소의 보안성 문제는 어제 오늘만의 일이 아니다. 2017년 4월 야피존(50억원), 2017년 9월 코인이즈(21억원), 2017년 12월 유빗(구 야피존: 170억원), 2018년 6월 10일 코인레인(400억원), 2018년 6월 20일 빗썸(350억원)이 연이어 해킹 피해를 입으며 큰 손실을 입었다. 특히, 빗썸의 경우 4일 전인 지난 16일 수상한 정황들이 포착됐는데, 비정상적 접근이 포착돼 서버 점검 등의 이유로 거래를 일시 중단하기도 했다.

이처럼 연이은 국내 암호화폐 거래소 해킹 소식은 거래소들의 보안성에 의구심을 더하고 있다. 뿐만 아니라 암호화폐 거래소와 거래소 회원들을 타깃으로 한 이력서 사칭 악성메일 공격이 지속적으로 탐지되고 있으며, 랜섬웨어 유포 후 암호화폐 요구, 암호화폐 채굴 등 각종 사이버범죄와도 연관성이 있어 보안에 대한 우려는 점차 커진 상황이다.

반면, 이들의 보안성은 좀처럼 개선되지 않고 있는 상황이다. 기업의 한 CISO는 “우리나라 상위권의 거래소 관련 소식은 해외에서도 주목도가 높고, 전 세계에 미치는 파장도 크다”며 “글로벌 경쟁력 확보를 위한 규제 개선에만 목소리를 높일 것이 아니라 실질적으로 글로벌 수준의 보안성을 확보한 후, 제 목소리를 내야 한다”고 강조했다.

이와 관련 과기정통부와 한국인터넷진흥원은 올해 1월부터 3월까지 암호화폐 거래소 21곳의 정보보안 수준을 점검한 바 있다. 점검결과, △시스템 접근통제 미비(17개사) △망 분리 미흡(16개사) △이상 징후 모니터링체계 부재(17개사) △가상통화 지갑·암호키 보안관리 미흡(18개사) △비밀번호 보안 관리 미흡(10개사) △방화벽 등 보안 시스템 부재(12개사) 등 안정성에 문제가 있는 것으로 조사됐다. 과기정통부는 보안 취약점이 있는 곳은 보완조치 이행을 해당 업체별로 통보했다.

과기정통부 최동원 사이버침해대응과장은 본지와의 통화에서 “한국인터넷진흥원을 통해 실태점검을 진행한 결과 암호화폐 거래소의 보안 수준이 전반적으로 낮고, 지난해부터 우후죽순 생겨나 회사 규모 성장에 치중하다 보니 보안에 대한 관심이 미흡했다”며 “하지만 이는 암호화폐 거래소 뿐만 아니라 대부분의 벤처기업도 해당된다”고 보안인식의 중요성을 강조했다.

하지만 이러한 점검은 의무가 아니기 때문에 더 이상 규제할 수 있는 힘을 발휘하진 못한다.현재 행정안전부에서는 정기적으로 개인정보 실태점검과 함께 개인정보 유출 기업을 대상으로 특별점검을 진행하고 있다. 점검과정에서 안전성 확보조치 미흡 등 개인정보보호법 위반사항이 나타나면 과태료 등 행정처분이 이뤄지고 있다. 또한, 각 협회 중심으로 서면점검을 통한 자율규제도 병행하고 있다.

하지만 암호화폐 거래소의 경우 정보통신망법이 적용되며, ISMS 인증은 일정규모 이상의 암호화폐 거래소만 해당돼 인증 의무대상도 제한적이다. 따라서 개인정보보호법처럼 위반 사항이 발견될 경우 행정처분이 적용되지 않는다. ISMS 인증을 취득한 곳은 현재까지 단 1곳도 없으며, 그나마 준비 중인 빗썸과 코인레일 모두 보완사항이 있었던 것으로 드러났다.

이와 관련 과기정통부 최동원 과장은 “정보통신망법상 ISMS 인증은 의무화라 인증 취득이 되지 않을 경우 과태료 등 행정처분이 내려질 수 있다. 하지만 거래소 실태점검의 경우는 의무사항이 아니기 때문에 현재는 보안 점검과 개선 요구를 통해 보안수준을 높이도록 독려할 수밖에 없다”며 “점검을 거부하는 곳은 국민에게 알리는 등 내부적으로 다양한 방안을 강구하기 위해 논의 중에 있다. 모든 암호화폐 거래소를 대상으로 ISMS 인증을 취득하도록 한 법안이 최근 발의된 만큼 정부에서도 법안 통과 전까지 거래소의 미흡한 보안 부분을 적극 점검하고 개선할 수 있도록 독려하겠다”고 말했다.

덧붙여 그는 “암호화폐 거래소 등 민간 차원에서도 자율규제 등 보안수준을 강화하기 위해 보안 투자를 확대하는 등 적극 노력해야 한다”고 강조했다.

2. 자율규제 원해서 맡겼더니 ‘줄줄이’ 해킹
그동안 민간에서는 암호화폐 거래소가 회원으로 구성된 한국블록체인협회가 자율규제안을 발표하는 등 나름대로 보안을 강화하겠다며 나섰지만, 줄줄이 해킹 소식이 전파를 타면서 여론의 뭇매를 맞고 있다.

한 암호화폐 거래소 이용자는 “국내 유명한 보안업체가 취약점 점검과 보안관제 등을 한다고 자랑만 하고, 실제 보안관리는 엉망인 것 같다”며 “보안을 말 그대로 보안으로 인식하는 게 아니라 회사를 키우기 위한 목적으로만 인식해 보안관리가 제대로 되지 않은 것”이라고 지적했다.

한 보안업체 대표는 “거래소가 해킹되면 손해비용 전액을 거래소가 즉각 보상한다고 하면 이번 사건처럼 안일한 사고방식은 자연히 사라질 것”이라며 “거래소의 월렛에 담겨 있는 암호화폐는 고객 누구의 것인지가 특정되지 않는 혼합된 총액 개념이다. 따라서 도난당할 경우 거래소 소유 화폐도 아니고, 특정 고객 누구의 것인지도 구분되지 않아 배상책임 소재가 불명확해질 수 있다”고 지적했다.

한국블록체인협회 정보보호위원회 위원장인 김용대 KAIST 교수는 “보안에 있어 자생적 대응능력을 키우도록 하기 위해 여러차례 회원사를 대상으로 초기부터 네거티브 규제 혹은 ISMS 수준의 보안점검이 필요하다고 요구했다. 그런데 거래소들이 ISMS 수준이 너무 높다고 난색을 표했고, 협회에서도 초기 심사는 협회에 가입할 수 있는 최소한의 자격이 되는지 여부를 심사하는 것이라고 했기에 기준을 대폭 낮췄다”고 말했다.

3. 투명성과 규제 여부 논란
암호화폐 거래소의 경우 안전성 문제뿐만 아니라 거래소의 투명성 미흡과 가상화폐 규제에 대한 정부의 미온적 태도 등도 지적됐다. 암호화폐 거래소인 업비트의 압수수색, 코인원의 마진거래 이슈, 해킹된 암호화폐 거래소의 ‘먹튀’ 논란이 제기되는 등 크고 작은 잡음이 끊이지 않았다.

빗썸의 경우 탈취된 코인은 350억원 규모로 공지한 반면, 탈취된 코인이 어떤 코인인지는 밝히지 않고 있다. 이에 대해 빗썸 관계자는 “현재 조사중이라 밝힐 순 없고, 조사결과가 나오면 알려주겠다”며 답변을 피했다.

보안업계 관계자는 “탈취된 코인도 확인되지 않았다고 하면서 피해 규모는 어떻게 산정한 건지 의구심이 든다”며 “피해규모는 나왔는데 탈취된 코인을 얘기하지 않는다는 건 이상하다. 다른 이유가 있다는 것이다. 털린 코인이 확인되고, 공지를 해야 사용자들에 대한 보상 방안도 논의될 수 있다”고 지적했다.

회원들의 자산을 다루기 때문에 투명성이 담보돼야 하는 거래소에 여러 의혹이 제기되면서 투명성 측면에서도 의구심이 커지고 있다. 이와 관련 고려대학교 김형중 교수는 “거래소가 장부거래, 시세조작 등 간혹 불투명한 거래를 한다는 의혹 등을 받고 있는데, 거래소 투명성을 검증할 수 있는 제도적 장치가 필요하다”고 언급했다.

또한, 정부가 암호화폐 거래소에 대한 입장을 명확히 밝히지 않고 있다는 점도 도마 위에 올랐다. 이러한 가운데 과기정통부가 블록체인 기술을 4차 산업혁명의 핵심기술로 선정하고 육성하겠다는 발전 전략을 21일 발표했다. 이는 올해 블록체인 기술을 활용한 산업 육성과 시장형성 계획으로 블록체인 6대 시범사업(축산물 이력 관리, 개인통관, 간편 부동산 거래, 온라인 투표, 국가 간 전자문서 유통, 해운물류) 추진계획이 포함됐다. 하지만 블록체인 기술을 활용한 암호화폐를 취급하는 거래소에 대한 언급은 빠져 있다.

정부의 규제 논란과 관련해 보안업계 관계자는 “암호화폐를 바라보는 정부의 태도에 논란이 있는데, 거래소가 취급하는 암호화폐를 아직까지 공식적으로 인정하지 않고 있다”며 “이로 인해 암호화폐는 물론 암호화폐 거래소에 대한 법적 규제 장치도 마련하지 못하고 있다. 규제를 하게 되면 암호화폐를 인정하는 꼴이 되기 때문에 이도저도 못하고 있는 상황인 셈이다. 이러한 논란을 잠재우기 위해서라도 정부에서 이제는 명확한 입장을 정해야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)