잇단 규제, 가상화폐 거래소 보안준비 상태는?

실시간
뉴스

솔루션

잇단 규제, 가상화폐 거래소 보안준비 상태는?

디지털데일리 발행일 2018-01-17 10:10:57

최민지

URL복사

[디지털데일리 최민지기자] 가상화폐에 대한 정부의 칼날이 점점 거세지고 있다. 16일 김동연 경제부총리는 가상화폐 거래소 폐쇄를 여전히 ‘살아있는 옵션’이라 말했고, 이러한 규제 분위기 속에 이날 전세계 가상화폐 시세는 폭락했다.

거래소 폐쇄까지 언급되고 있지만 보안정책은 그대로 유지된다. 과학기술정보통신부(이하 과기정통부)는 보안사고 예방을 위한 조치 강화를 위해 조건에 부합하는 일부 거래소에 정보보호관리체계(ISMS) 인증, 정보보호최고책임자(CISO) 지정 등을 요구한 바 있다.

과기정통부와 방송통신위원회는 ISMS·CISO를 비롯해 ▲개인정보 유출 등 지속적 법규 위반 사업자에 서비스 임시중지 조치 ▲피해구제 강화 위한 집단소송제도, 손해배상 보험 공제 가입 의무화 ▲보안취약점 발굴 및 기술지원 ▲보호조치 미흡한 거래소 대상 행정처분 ▲지속적 보안점검을 실시하겠다고 밝혔다.

과기정통부 관계자는 “과기정통부의 기본 입장은 규제 여부와 관계없이 블록체인 개발·서비스 확산에 대해서는 계속 노력하겠다는 것”이라며 “화폐 인정 유무를 떠나 일정 규모 이상인 사업자는 CISO를 지정해야 하고 ISMS를 의무적으로 받아야 한다”고 설명했다.

이어 “해킹의 위험성이 있고, 네트워크를 이용하는 IT 자원을 사용하기 때문에 신경을 써야 하는 부분”이라며 “이용자가 많은 만큼 거래소에게 보안준수를 서둘러달라고 요청하고 있다”고 덧붙였다.

국내 가상화폐 거래소들은 연내 ISMS 인증을 마치고 정부의 정책을 최대한 준수하겠다는 입장이다.

빗썸은 국내 거래소 중 가장 먼저 ISMS 인증을 취득하겠다는 방침이다. 오는 5월 내에 ISMS 인증 획득을 목표로 보안 컨설팅 등 내부 준비 작업을 진행 중이다. 이와 관련 지난해 8월부터 ISMS 등 정보보호 관련 인증 심사원 자격을 보유한 보안전문가 2명을 영입했다. 이달에는 정명수 이사를 CISO로 선임했다.

빗썸 측은 “개인정보보호관리체계(PIMS), 정보보호경영시스템(ISO27001) 등 국내외 정보보호 및 개인정보보호 관련 인증도 준비 중”이라며 “PIMS는 ISMS 획득 이후인 올해 하반기로 예정 중이며, ISO27001도 그 이후로 순차적으로 진행할 예정”이라고 말했다.

코인원도 ISMS를 포함한 보안 요구사항을 최대한 빨리 완료시키겠다는 입장이다. 국내 거래소에서는 처음으로 사이버배상책임보험에 가입했고, SK인포섹을 통해 보안관제 서비스를 받고 있다는 설명이다. 또, 그레이해쉬와 제휴를 맺고 취약점을 분석하고 실시간 리포트를 받으면서 개선작업을 실시하고 있다.

코인원 측은 “거래소 폐쇄를 한 대안이라고 강경한 입장으로 정부에서 발표했지만, 말 그대로 대안 중 하나”라며 “요구하는 바를 잘 준수하면, 정부에서도 어느 정도 인정해줄 수 있는 요건으로 보고 있다”고 부연했다.

코빗도 올해 상반기 내 ISMS 인증에 참여할 예정이다. CISO의 경우, 지난 2015년 9월부터 지정돼 있다. 24시간 보안 감시 시스템과 본인확인 절차 등을 강화해 고객자산 보호에 최선을 다하겠다는 말도 보탰다.

코빗 측은 “거래소를 시작했을 때부터 외부적인 마케팅보다 고객자산 보호와 보안 조치에 주의를 기울여 왔다”며 “내부에서 보안 인력들을 충원하고 있고 관제 시스템 등에서 체계적인 보안정책을 마련해 해킹을 예방하고 보안관련 사항을 철저히 준비하겠다”고 강조했다.

업비트 또한 자율규제안 등을 포함해 준수할 수 있는 부분을 모두 지키기 위해 내부에서 준비 중이라고 전했다. ISMS는 연내 완료할 예정이고, CISO는 지난해 12월 삼성SDS와 삼성증권에서 20여년간 IT·보안 업무 경력을 지닌 금융 및 보안 전문가로 영입 완료했다.

업비트 측은 “월렛 보안을 위해 다수의 글로벌 거래소들이 신뢰하고 있는 빗고(Bitgo) 이중월렛을 채택하고, 계정 및 개인정보보호를 위해 카카오페이 인증 및 금융권에서 사용하는 정보유출방지 솔루션을 도입했다”며 “데프콘(DEFCON) 해킹대회 본선 4회 우승 등 폭넓은 경험을 보유한 티오리(Theori)로부터 보안 컨설팅을 받고, 금융감독원 보안성 심의를 통과한 카카오스탁 거래 앱을 통해 보안기술을 입증했다”고 말했다.

하지만, 아직까지 상당수의 가상화폐 거래소들은 보안에 취약한 상태다. 주요 거래소들도 금융권과 비교했을 때 보안조치가 미비하다는 의견이 주를 이루고 있다.

일부 거래소가 금융권과 비슷한 보안 수준을 갖췄다고 주장하는 것에 대해 허성욱 과기정통부 과장은 지난 브리핑을 통해 “다른 거래소와 비교했을 때 상대적으로 보안 수준이 괜찮은 것은 사실이지만, 전체 보안기준에서 완전하다고 볼 수 없다”고 선을 그었다.

거래소 폐쇄정책이 실제 이뤄진다 했을 때 보안업계에서는 큰 타격이 없을 것이라 판단하는 이유이기도 하다. 보안업계는 가상화폐 거래소를 새로운 수익시장으로 여기고 있지만, 현재의 시장규모는 예상보다 크지 않다. 그만큼 보안에 대한 투자가 적다는 뜻이다.

보안업계 관계자는 “지금 가상화폐 거래소에 들어가는 사업 단가 자체가 크지 않다”며 “대부분이 방화벽·관제·컨설팅 등 기본적인 서비스인데, 이마저도 집행하는 거래소는 한 손에 꼽히기 때문에 금융권 수준으로 보안수준을 확대하지 않는 이상 수익적으로 큰 시장은 아직까지 아니다”고 제언했다.

<최민지 기자>cmj@ddaily.co.kr