보안이 허술한 가상화폐거래소는 시장에서 퇴출될 전망이다.
정부는 이번 가상화폐 투기근절을 위한 특별대책에서 거래소가 갖춰야할 구체적인 보안 수준은 제시하지 않았다. 거래소 사이버 보안 관련 현장 조사 결과를 은행권과 공유해 지급결제서비스 중단을 고려한다는 수준이다. 정부는 가상화폐 거래소를 직접 제도권으로 끌어들이기보다 은행을 앞세운 시장 규제를 택했다.
가상화폐거래소 유빗은 지난 19일 해킹 피해를 입은 후 파산을 선언했다. 유빗 사태로 이번 특별대책 발표가 앞당겨졌다.
과학기술정보통신부는 지난 9월부터 10개 거래소에 대해 사이버 보안과 개인정보보호체계를 점검했다. 거래소 사이버 보안은 낙제 수준이었다. 51개 항목을 점검했는데 대부분 거래소는 절반을 간신히 넘겼다.
거래소는 접근통제장치 설치와 운영, 개인정보 암호화 조치 등 기술과 관리 보안 조치가 부족했다. 주요 시스템에 접근할 때 ID와 비빌번호 외에 추가 인증을 하지 않았고 특정 시스템에 접근 관리가 안됐다. 거래소가 제대로 된 보안체계를 갖출 여력 없이 급격히 거래규모가 성장해 해커 공격위협에 노출됐다.
매출액 100억원 이상, 일일평균 방문자수 100만 이상 거래소는 내년부터 정보보호관리체계(ISMS) 인증을 받아야 한다. 빗썸, 코인원, 코빗, 업비트 등 4개 거래소는 내년 ISMS 인증 의무 대상이다. 해당 규제는 거래소만에 특화된 것이 아니라 정보통신망법 제 47조에 의해 정보통신서비스사업자가 받는 내용이다.
현재 거래소에 사이버 공격이 집중되지만 관련 정보 공유가 미흡하다. 영세 쇼핑몰 사업자 수준인 거래소는 최고정보보호책임자(CISO)는 물론 보안 전담 인원이 없는 곳이 많다. 과기정통부는 거래소별로 CISO를 지정해 신고하라고 지시했다. 관련 내용 역시 가상화폐 거래소에만 특화된 내용이 아니다.
방통위는 사업자 책임 강화를 위해 개인정보유출 등 법규 위반 거래소에 '서비스 임시 중지조치 제도'를 도입한다. 개인정보 유출시 과징금 부과기준을 상향해 법규 집행력을 강화한다.
한국인터넷진흥원(KISA)은 거래소가 제공하는 서비스 전반에 취약점 점검을 하고, 홈페이지 취약점 점검 도구를 무료 배포한다. 보안취약점을 사전에 조치하도록 가상화폐 거래소를 취약점 신고 포상제 공동 운영사로 끌어들이는 방안도 검토 중이다.
김인순 보안 전문기자 insoon@etnews.com