[뉴스후] 바닥으로 떨어진 가상화폐 거래소...특단의 대책 마련해야

앵커> 가상화폐 거래소가 연이어 해킹 당하자 소비자들의 불안감이 고조되고 있습니다. 업계 선두 빗썸거래소 마저 해킹으로 가상화폐를 탈치당하자 파장이 적지 않습니다. 서정근 기자와 관련한 이야기 나눠보겠습니다. 가상화폐 거래소 해킹 사고가 연이어 벌어졌는데요 피해 규모와 사례, 의미에 대해 설명해주시죠.

기자> 빗썸거래소가 지난 20일 350억원 규모의 가상화폐를 탈취당했다고 한국인터넷진흥원에 신고했습니다. 앞서 해킹으로 피해를 입은 코인레일은 400억원 규모의 가상화폐를 잃었습니다.

지난해 유빗과 유빗의 전신 야피존의 해킹 피해액을 합산하면 약 1,000억원 규모입니다.

정부당국은 가상화폐를 금융자산으로 인정하지 않고 있습니다. 그러나 소비자들의 투자 수요가 엄연히 있고, 돈을 내고 가상화폐를 구입하는 만큼 금융자산의 성격을 부인할 순 없습니다.

소비자 입장에선 은행에 맡겨둔 예금이 은행강도에 의해 털리거나, 증권사에 위탁한 주식이 증발한 것이나 마찬가지입니다.

앵커> 블록체인은 해킹으로부터 자유롭다고 알려져 있는데 왜 이런 사고가 날까요.

기자> 중앙집중형 서버에 거래 기록을 보관하지 않고, 거래 때마다 모든 참여자들이 정보를 공유하고 이를 대조해 데이터 위변조를 막는 구조이긴 합니다.

그런데 소비자들이 보유하고 있는 가상화폐가 매매를 위해 거래소에 위탁되어 한곳에 모여 있는 상태에선 보안 위협에서 자유로울 순 없겠지요.

과학기술정보통신부와 한국인터넷진흥원이 관련 경위를 조사하고 있는데요, 아직까지 오피셜로 결론이 나진 않았습니다만 e메일 피싱의 가능성에 주목하는 것으로 알려졌습니다.

악성코드를 담은 문서 파일을 e메일에 첨부해 발송하고, 회사 직원들이 문서파일을 열람하면 컴퓨터가 감염되는 고전적 방식이죠.

앵커> 빗썸거래소의 경우 하루 거래액이 5,000억원 규모로 알려져 있는데, 어찌됐든 해킹으로 구멍이 뜷렸으니 350억원보다 더 많은 규모의 가상화폐가 탈취됐을 법도 한데요.

기자> 거래소들이 위탁 보관하는 가상화폐는 핫월렛과 콜드월렛에 나뉘어 보관됩니다. 콜드월렛은 인터넷과 연결되지 않은 저장소의 개념이고, 핫월렛은 즉각적인 이동을 감안해 인터넷과 연결이 되어 있는 저장소입니다.

업계는 예치자산의 70%를 콜드월렛에 보관하는 것을 원칙으로 합니다. 혹시 있을지 모르는 위협에 대비하는 것이죠. 빗썸은 지난 16일부터 이상 징후를 발견하고 고객 예치 자산 대부분을 콜드월렛에 담아뒀다고 설명하고 있습니다.

앵커> 일각에선 이번 해킹 피해를 두고 "올것이 왔다"라고 이야기한다면서요.

기자> 빗썸이 지난 2월부터 안랩 세이프 트랜젝션이라는 보안 프로그램을 사용했습니다. "우리는 제1금융권 수준의 보안 시스템을 갖췄다"고 대대적으로 홍보하기도 했습니다.

화이트 해커들 사이에서 "빗썸이 조만간 곤경에 처할 수 있다"는 이야기가 최근 돌았다고 하는데요, 빗썸이 내비친 자신감이 해커들 사이에서 "그래, 그만큼 자신 있어? 어디 한번 두들겨 볼까"라고 동기부여를 한 측면이 있다는 것이지요.

앵커> 자신감은 넘쳤으나 보안수준이 높지 않았다는 것인데...그 많은 돈이 오가는 거래소의 보안 관리 감독을 위해 정부가 한 일은 무엇인가요.

기자> 과기정통부와 방통위가 1분기에 각각 실태조사를 진행해 보안수준과 개인정보 보호 시스템을 점검한 바 있는데, 전수조사 대상이 된 업체들이 모두 낙제점을 받았습니다.

이상징후 모니터링 체계가 갖춰지지 않았고 가상화폐, 지갑, 암호키 보안관리가 미흡하고 방화벽 등 보안시스템이 부재하고..문제가 많은 수준이 아니라 모든 항목에서 문제가 있었습니다.

앵커> 그래서 정부는 결론을 어떻게 내렸나요.

기자> 방통위는 과징금을 부과했고 과기정통부는 정보보호관리체계(ISMS) 인증을 연내에 받으라고 권고했습니다. 아직까지 국내 거래소 업체 중 해당 인증 획득에 성공한 곳은 없습니다.

앵커> 한 곳도 없다구요?

기자> 빨리 받을 수 있으면 좋겠지만 정부가 "연말까지 받으라"고 했으니 그전에만 받으면 되는 건데, 그마저도 강제성은 없습니다.우리 금융당국이 가상화폐를 제도권 금융자산으로 인정하질 않으니, 금융자산 보호를 위해 필요한 제도적 장치 마련을 기업체에 강제할 근거 자체가 없는거죠.

금융당국은 국내 ICO를 금지하고 소비자들의 투자를 까다롭게 만들어 자금세탁을 방지하고 시중 자금이 증시를 벗어나 가상화폐에 쏠리는 것을 막는데만 급급합니다.

합법도 아니고 불법도 아닌 회색지대에 가상화페를 두고 방치하다 이런 사고가 났다고도 볼 수 있습니다.

앵커> 거래소들의 약관에도 독소조항이 있다고 알려져 있는데요.

기자> 시중 거래소 모두 "회사의 고의나 과실이 아닌 사고가 발생하면 회사가 이를 배상할 책임이 없다"고 명시하고 있습니다. 회원들도 가입 단계에서 이에 동의했구요.

빗썸의 경우 이번 사건으로 고객피해가 발생할 경우 회사가 보유한 가상화폐로 보상해 주겠다고 밝혀, 소비자 피해로 이어질 가능성은 없습니다.

다만 영세한 중소규모 거래소가 이같은 사고를 당할 경우 소비자 배상을 장담할 순 없겠죠. 이같은 문제를 해결하기 위해서라도 정부가 관련 법령과 규제, 보안 표준을 마련하고 이를 따르지 않는 기업들은 엄중히 처벌할 필요가 있습니다.

지금까지 그랬던 것 처럼 "완전히 막진 않겠지만 합법이라고 인정도 못해. 문제 터지면 너희들끼리 알아서 해"라고 방관해선 안된다는 여론이 높습니다.









[머니투데이방송 MTN = 서정근 기자 (antilaw@mtn.co.kr)]