![[이슈분석]가상화폐거래소 신뢰성 도마](https://img.etnews.com/photonews/1712/1026258_20171220172030_776_0002.jpg)
유빗이 해킹으로 파산을 신청하며 가상화폐거래소 신뢰성이 도마에 올랐다.
국내 가상화폐소 거래량은 세계 상위권이지만 위상에 맞는 신뢰성은 담보되지 않는다. 고객 자산을 안전하게 보호하는 조치가 미흡하고 운영이 투명하지 않다.
가상화폐정보사이트인 코인마켓캡에 따르면 20일(10시 기준) 세계 시장 규모는 5915억5664만 달러(약 642조1938억원)에 달한다. 유통되는 가상화폐 종류도 1369개나 된다. 거래소도 우후준순 설립된다. 국내 가상화폐거래소 수만 30여개에 이른다. 최근 정부가 가상화폐 규제안을 마련하자 시행 전에 거래소를 설립하려는 움직임이 감지된다.
과학기술정보통신부는 10월부터 한국인터넷진흥원을 통해 빗썸과 코빗, 코인원 등 거래소 10곳을 보안점검을 했다. 이 결과 거래소 사이버 보안은 낙제 수준으로 파악됐다. 51개 항목을 점검했는데 대부분 거래소는 낙제점을 받았다. 이번에 해킹 사고로 파산에 이른 유빗은 점검 항목 중 절반이 미흡했던 것으로 드러났다. 유빗(구 야피존)은 4월 해킹으로 3831비트코인(당시 시세 약 55억원)을 탈취 당한 후에도 보안 조치가 미흡했다.
보안전문가는 “가상화폐 거래소 운영 주체가 대부분 스타트업인데다 거래수수료 받기에 급급해 보안은 전혀 고려하지 않고 있다”면서 “사이버 공격이 거래소로 몰리는데 대응 기술은 물론이고 관리인력이 한 명도 없는 곳도 많다”고 말했다.
국내 최대 거래소인 빗썸은 4월 해킹을 당해 고객 정보를 유출해 조사를 받았다. 이 과정에서 추가 공격이 확인됐다. 빗썸은 개인정보 유출 시도 탐지를 소홀히 했고 관련 파일을 암호화하지 않은 채 개인 PC에 저장했다. 백신 소프트웨어 업데이트 등 보안 솔루션 사용도 미비했다. 빗썸은 그나마 방통위 조사 후 뒤늦게 침입 차단 방지시스템을 도입하고 망분리한다고 밝혔다.
![[이슈분석]가상화폐거래소 신뢰성 도마](https://img.etnews.com/photonews/1712/1026258_20171220172030_776_0003.jpg)
가상화폐거래소 기업 투명성에도 의구심이 모인다. 가상화폐거래소는 통신판매업자로 분류된다. 방송통신위원회에 온라인 쇼핑몰처럼 등록을 하면 영업을 할 수 있다. 누구나 맘만 먹으면 가상화폐거래소를 열 수 있는 셈이다. 이들 자산과 매출 규모가 정확히 집계되지 않는다. 재무실사현황이 투명하지 않고 자산관리와 보관이 입증되지 않는다.
설립된 지 2~3년밖에 안된 거래소는 외부 회계법인을 통한 재무 실사는커녕 결과 공개도 안한다. 회원이 예치한 자금 지급준비율도 명확치 않다. 가상화폐거래소가 실제로 해당 코인을 제대로 보유하고 있는지 확인도 어렵다.
국내 가상화폐 거래자는 대부분 거래소에서 만든 온라인 계좌를 이용한다. 한 보안 전문가는 “고객은 거래소 화면에 보이는 잔고를 확인하고 안전하게 보관된다고 믿는다”면서 “우후죽순 늘어난 거래소가 화면에 잔고정보만 올리고 실제로 코인을 확보하지 않을 가능성도 있다”고 설명했다.
일반 주식은 개인 예치금을 증권사에서 마음대로 건드릴 수 없다. 가상화폐거래소는 이에 대한 규제가 없어 예치금이 어떻게 보관 활용되는지 알 수 없다.
유빗 사고에 대한 의구심도 제기된다. 4월 대형 해킹을 당해 서비스명까지 바꾼 야피안이 또 다시 해킹으로 파산까지 신청한 과정이 석연치 않다. 30억원 규모 사이버 보험에 가입한지 며칠 지나지 않았다. 유빗은 12월 7일 DB손해보험 사이버종합배상책임보험에 가입했다. 해킹이 발생하면 30억원의 배상금을 받는다.
김인순 보안 전문기자 insoon@etnews.com