#A씨는 최근 암호화폐 거래소 보안담당자로 일자리를 옮기면서 놀라지 않을 수 없었다. 하루 수백억원이 거래되는 암호화폐 중계 거래소 보안이 터무니없었기 때문이다. 기본적인 망분리, 안티바이러스(백신) 미비 등은 오히려 약과였다. 서버실에는 흔한 자물쇠 하나 없었고, 온도 체크도 되지 않았다. 내부자가 누구든 서버실에 들어와 조작할 수 있을 뿐 아니라 언제 서버가 작동을 멈춰도 이상하지 않은 구조였다.
# B보안기업은 올해 초 암호화폐 거래소 보안수요가 높을 것이라 예상해 관련 마케팅을 활발하게 벌이다 이내 그만뒀다. 이들 거래소가 실질적인 보안 강화를 목적으로 하는 것이 아니라 사람을 끌어 모으기 위한 홍보수단으로 보안 기업을 이용하려 했기 때문이다.
유빗거래소가 지난해 12월 19일 해킹으로 파산신청한 지 1년이 지났다. 연이은 수백억원대 해킹사건은 거래소 보안수준에 대한 경종을 울렸다. 1년이 지난 지금 암호화폐 거래소 수준은 여전히 낙제점을 벗어나지 못했다.
일부 대형거래소가 정보보호관리체계(ISMS) 인증을 획득 하는 등 개선을 보이지만 이외 거래소 보안 강화 움직임이나 노력은 찾기 어렵다. 그사이 암호화폐 거래소는 100여개로 우후죽순 늘어났다. 해킹, 스캠(사기) 등 소비자 피해만 늘었다.
◇4대 거래소 외 ISMS인증 1건…양극화된 거래소 보안
18일 기준 ISMS인증을 통과한 국내 암호화폐 거래소는 두나무(업비트), 고팍스, 코빗이다. 고팍스는 지난해 정부가 지정한 ISMS인증 획득기관으로 지정되지 않았지만 보안 강화를 위해 선제적으로 인증 획득절차에 돌입했다.
이외 정부 지정 인증 필수 기업으로 지정됐던 빗썸과 코인원도 빠르면 올해 말 늦어도 내년 상반기 인증을 완료할 것으로 전망한다.
과학기술정보통신부 관계자는 “올해가 가기 전 암호화폐 거래소 ISMS 획득 대상이 모두 인증을 완료하는 것을 목표로 한다”면서 “의무대상 거래소가 올해를 넘긴다고 하더라도 곧바로 벌금 등을 부과하지 않고 인증을 획득 하도록 독려할 것”이라고 말했다.
국내 대형 암호화폐 거래소가 자본력을 바탕으로 보안 등 강화에 나서는 반면 이외 거래소 보안은 여전히 우려스럽다.
실제 과학기술정보통신부와 한국인터넷진흥원(KISA)이 지난 8월 발표한 암호화폐 거래소 보안 중간점검 결과에서 보안수준은 낙제점에 가까웠다. 6~7월 거래소 21곳을 대상으로 실시한 점검에서 암호화폐 지갑관리 부분에서 대다수가 취약점 개선이 완료되지 않은 상태로 파악됐다. 지갑(콜드월렛) 개인키 유출·분실 방지 보안대책(12곳), 지갑(핫월렛) 이상징후 모니터링(10곳), 지갑 백업·복구대책(10곳) 등이 미흡한 것으로 평가됐다.
보안점검에 참여한 관계자는 “상위 기업은 보안 수준이 많이 개선됐지만 중소기업 보안수준은 여전히 부족하다”면서 “중소 거래소는 보안에 투자할 자금 여력이 안 되다 보니 최종점검에서도 미흡한 부분을 많이 보였다”고 설명했다.
더 큰 문제는 21개에도 들지 못한 이외 거래소다. 한국블록체인산업협회가 추정하는 국내 활동 암호화폐 거래소는 100여개다. 이 가운데 절반가량이 실제 거래소 업무를 진행하는 것으로 파악한다. 이름도 제대로 알지 못하는 거래소는 회원을 유치하기 위해 편법과 불법의 경계를 아슬아슬하게 넘나든다. 투자금액 2배를 돌려주겠다는 약속을 하기도 하고 실제 스캠 사건 등이 발생했다.
일각에서는 코인을 상장하기 위해 거래소를 만들기도 한다. 당연히 보안은 뒷전이다.
정부가 지정한 의무 ISMS인증 획득 외 관련 인증을 통과한 기업은 고팍스가 유일이다. 이외 기업은 현재 인증획득 절차를 밟지 않는다.
보안 업계 관계자는 “거래소 해킹 사건 등이 발생하면 가장 먼저 왜 해킹이 발생했는지가 아니라 '해킹이 맞느냐'고 되묻는 등 거래소가 신뢰를 잃어버렸다”면서 “거래소 스스로 투명성을 되찾기 위한 방법을 고민하지 않으면 소비자 신뢰를 얻기는 어려울 것”이라고 지적했다.
◇해킹위협은 여전히 진행 중
암호화폐 가격이 일제히 하락하면서 거래소 관심도 서서히 멀어진다. 하지만 암호화폐 거래소는 여전히 해커 1순위 목표다. 촘촘한 은행 보안과 달리 많은 돈이 거래되는 암호화폐 거래소는 해커 노력 대비 얻을 수 있는 수익이 크기 때문이다.
실제 지난해부터 발행한 빗썸, 유빗, 코인레일 등 공개된 해킹사건 외 공격 시도는 이를 훨씬 뛰어 넘는다. 8월 이스트시큐리티는 국내 암호화폐 거래소 관계자를 노린 금융감독원 명의 사칭 지능형지속위협(APT) 공격 정황을 포착했다. 주공격 대상인 암호화폐 거래소 관계자가 첨부 파일을 열람하도록 유도하기 위해 '유사수신행위 법률 위반 통지문' 등 금융감독원이 발송한 것처럼 보이는 내용으로 작성했다.
큐브피아도 북한으로 추정되는 암호화폐 거래소 공격을 포착했다. 올해 중순부터 최근까지 공격은 계속됐다. 거래소뿐 아니라 개인 지갑을 노리고 암호화폐 백서 등을 가장한 메일 등 스피어피싱 공격을 지속했다. 소셜네트워크서비스(SNS), 커뮤니티 등 암호화폐 투자자가 모인 곳에 악성코드가 담긴 가짜 백서를 뿌린 정확도 포착됐다.
권석철 큐브피아 대표는 “암호화폐 가격 하락과 관계없이 거래소나 개인을 향한 공격은 현재까지도 계속 포착되고 있다”면서 “당분간 거래소, 개인지갑을 향한 공격은 끊이지 않을 것”이라고 설명했다.
◇보안 해결책 마련은 어려운 문제…“CEO 마인드부터 개선” “제도권 편입 기대”
암호화폐 거래소 보안을 강구하는 방향은 최고경영자(CEO)가 직접 챙기지 않는 이상 변화를 기대하기는 어렵다. 최근 암호화폐 가격이 하락하면서 거래량이 급감했다. 이는 곧 거래소 수수료 하락으로 이어진다. 이제는 존립 자체가 위태롭다. 보안은 뒷전으로 밀릴 수밖에 없다. 그 틈을 파고 해커는 공격한다.
김용대 KAIST 교수는 “일부 거래소가 ISMS 인증 등 보안강화에 나선 것은 실명확인 계좌 발급 기대가 컸다”면서 “현재 정부기조가 여전히 거래소를 인정하지 않는 방향으로 흐르면서 자연스럽게 보안도 뒷전으로 밀려났다”고 설명했다.
김승주 고려대 정보보안학과 교수는 “암호화폐 거래소가 자율규제 등을 통해 보안을 개선할 수 있다고 말하지만 개선되지 않는 것이 현실”이라면서 “블록체인산업협회가 스스로 돈을 낸 회원사를 평가하는 것은 신뢰를 담보하는 개선방향이 되기는 어렵다”고 덧붙였다.
암호화폐 거래소 현실을 고려한 맞춤 규제가 필요하다는 주장도 나온다. 제도권으로 진입시켜 공인된 거래소 지위 획득 등을 통해 보안을 끌어올려야 한다는 설명이다. 김정혁 링카코리아 대표(한국블록체인 협회 자율규제위원)는 “현재 거래소 보안과 신뢰성 향상에 유일한 대안은 제도권 진입”이라면서 “제도권에서 공인된 거래소 지위를 획득하고 이를 믿고 투자하는 방향이 난립한 거래소 해소, 불안정한 보안체계를 향상시키는 지름길”이라고 설명했다.
김형중 고려대 암호화폐연구센터장은 “암호화폐 거래소 보안이 중요하다는 것은 모두 알고 있지만 이를 풀어 낼 뾰족한 수가 없는 것도 사실”이라면서 “거래소별 수준을 평가해 공표하는 것도 방법이지만 이는 곧바로 소송으로 이어질 위험부담을 안고 있다”고 덧붙였다.
정영일기자 jung01@etnews.com