국내 암호화폐거래소의 KYC인증(사용자 인증:Know Your Customer) 프로세스가 매우 취약한 것으로 드러났다. 본인 확인 최종 절차인 2차 KYC인증 체계는 거의 전무한 것으로 확인됐다.
자금세탁 방지와 불법 자금 조달 방지를 막기 위해 보다 세분화한 KYC 인증 체계를 도입해야 한다는 지적이다. 이미 해외에서는 KYC관련 계정생성부터 로그인, 비밀번호 변경 등 세부 항목에 대한 인증 절차를 강화하고 있다.
7일 업계에 따르면, 국내 암호화폐 거래소 중 일부가 'KYC 2차 인증 체계'를 허술하게 운영해 보안 허점을 노출했다.
대형 암호화폐거래소 A사는 약 15개에 달하는 KYC 2차 인증 프로세스를 단 한개도 운영하지 않는 것으로 드러났다. 금융 보안 사고 등을 막기 위한 필수 조치가 바로 KYC 인증이다. A사 2차 인증 수단으로 활용되는 핀번호, SMS인증, 여권번호, 여권 셀카 사진, 은행 계좌, 우편 인증 등을 적용하지 않았다.
해킹과 보이스피싱 등에 고스란히 노출된 셈이다. 비밀번호 변경과 계정 수정에 필요한 인증 절차도 없다.
비밀번호 변경과 계정 수정에 필요한 보안 인증도 허술하다.
해외 거래소는 비밀번호 변경에 필요한 정보로 이전 비밀번호와 아이디, 이메일 인증, 2단계(2FA) 인증 방식을 의무적으로 요구한다. 계정 수정도 마찬가지다. 기존 이메일에 전송된 코드나 여권 커버 사본, 여권 정면 사본, 여권 셀카, 신규 이메일 주소 등을 해외에서는 등록해야 하지만 국내 거래소는 전무한 실정이다.
KYC와 관련된 인증은 고객 입장에서는 매우 불편하다. 하지만 계정 해킹과 타인 도용을 막기 위해서 반드시 필요한 조치다.
국내 대형 암호화폐거래소 B사도 15개 중 8개를 KYC 2차인증 수단으로 채택하고 있지만 비밀번호 변경과 계정 수정에 필요한 인증 수단은 채택하지 않고 있다. 또 다른 국내 거래소는 SNS로 가입프로세스를 대체하는 경우도 있다.
반면에 해외 암호화폐거래소는 최근 KYC인증을 대폭 강화하는 추세다.
홍콩 오케이이엑스, 비트피넥스, 영국 힛빗 거래소 등은 다양한 2차 KYC 인증 수단을 채택했다. 한국에서는 코인원, 고팍스 등이 KYC 인증 관련 가장 깐깐한 단계를 거치고 있는 것으로 나타났다.
고팍스는 이메일인증과 본인명의 휴대폰 인증, 계좌정보, 신원확인 사진, 어드민 서버를 통한 고객 신원확인 절차 등 까다로운 KYC인증체계를 운영 중이다. 또 고유재산과 이용자의 예탁·거래금을 완전히 분리했다.
이준행 스트리미 대표는 “KYC인증은 고객이 불편할 수 있지만 해킹 등 금융사고를 초기에 막을 수 있는 매우 중요한 수단”이라며 “과할 정도로 개인정보를 요구해 고객 불편이 있지만, 여러 안전 장치를 마련하기 위해 보다 강화된 보안인증체계를 운영해야 한다”고 말했다.
길재식 금융산업 전문기자 osolgil@etnews.com
