MTN NEWS
 

최신뉴스

무너진 가상화폐 거래소 신뢰성...특단의 대책 마련해야

서정근 기자

가상화폐 거래소에 대한 소비자들의 신뢰가 추락을 거듭하고 있다. 두나무가 장부거래 논란으로 검찰 수사를 받은데 이어 코인레일, 빗썸거래소가 연이어 수백억원 대의 해킹 피해를 입으며 소비자들의 불신을 자초했기 때문이다.

유빗 등 중소 규모 거래소의 지난해 해킹 피해 사례까지 감안하면 가상화폐 거래소가 해킹으로 탈취당한 자산규모가 1000억원에 육박한다.



해킹피해를 입은 거래소들은 약관을 통해 "회사의 고의나 과실이 아닌, 천재지변에 준하는 사안으로 고객에게 손실이 발생할 경우 우리는 책임지지 않는다"다며 '면피' 가능성을 열어두고 있다.

가상화폐가 현 시점에서 자산가치를 가지고 있음을 부정할 수 없으나 금융당국은 국내 ICO를 금지하고 코인 투자에 제약을 가해 자금세탁을 막고 시중 자금이 증시에서 이탈하는 것을 막는데만 급급하다. 투자자들의 자산을 보호할 수 있는 제도적 장치 마련에는 손을 놓고 있다.

사고가 터질 때 마다 과학기술정보통신부와 방송통신위원회가 진행하는 사후 관리는 '사후약방문' 그 이상도 이하도 아니라는 평가를 얻고 있다.

빗썸이 350억원 규모의 가상통화를 탈취당했다고 한국인터넷진흥원에 신고한 시점은 지난 20일 오전 9시 경이다. 하루 전인 19일 오후 11시부터 20일 오전 4시까지 해킹 공격을 받았다는 것이 빗썸 측의 설명이다.


이상 징후는 지난 주말부터 있었던 것으로 알려졌다. 16일 오후 해커의 공격을 받아 가상통화 입금을 제한하고 서버 점검에 들어갔다. 고객들의 자산 중 상당수는 인터넷과 연결되지 않은 외부 저장장치 '콜드월렛'에 담아 보관됐다.

빗썸이 인터넷과 연결된 ‘핫월렛’에 거래소가 보유한 1500억 원 상당의 가상통화를 남겨뒀는데, 이중 350억원 상당의 자산이 탈취된 것이다.

관련업계의 한 관계자는 "최근 화이트 해커들로부터 '빗썸이 조만간 곤경을 겪을 것' 이라는 이야기가 돌았다"고 밝혔다.

빗썸은 올해 2월 은행권이 쓰는 통합보안 솔루션 '안랩 세이프 트랜잭션'을 도입하고 전체 임직원의 21%를 정보기술(IT) 인력으로 채웠는데 이 시점부터 "빗썸은 제1금융권 수준의 보안 시스템을 갖췄다"며 이를 대대적으로 홍보한 바 있다.

대규모 가상화폐의 위탁과 매개가 이뤄지는 가상화폐 거래소는 해커들의 '타깃'이 되기 십상이다. 하루 거래량이 5000억원에 육박하는 빗썸의 이같은 홍보는 해커들에게 충분한 '동기부여'가 된 측면이 있다는 것이다.

과학기술정보통신부는 지난 1월부터 3월까지 21개 가상화폐 거래소의 보안실태를 점검한 바 있는데, △ 시스템 접근 통제 미비(17개사) △ 망분리 미흡(16개사) △ 이상 징후 모니터링 체계 부재(17개사) △ 가상화폐 지갑, 암호키 보완관리 미흡(18개사) △ 비밀번호 보완관리 미흡(10개사) △ 방화벽 등 보안시스템 부재(12개사) 등 조사 전 항목에서 보안 허점이 드러났다.

비슷한 시기에 방송통신위원회가 10개 거래소를 대상으로 진행한 개인정보 보안 태세 점검에선 업비트, 리플포유, 씰렛, 이야랩스, 야피안, 코빗, 코인원, 코인플러그 등이 제대로 된 보안장치를 갖추지 못한 것으로 나타났다.

이들은 정보통신망 이용촉진 및 정보보호법 위한으로 1억 4100만원의 과태료가 부과됐고, 위반행위 즉시 중지 및 재발방지 대책 수립 보고 명령이 내려졌다.

과학기술정보통신부는 이들에게 정보보호관리체계(ISMS)인증 취득과 개인정보보호최고책임자 직위 신설 및 정부와의 핫라인 구축을 요구한 바 있다. 이들 중 그 어느 곳도 ISMS 인증을 취득하지 못했다.

가상화폐 거래소들이 준수하고 있는 보안 지침은 자율규제로 이행하고 있는 '고객 자산과 거래사이트 자산의 분리보관', '보유자산의 70% 이상을 인터넷에 연결되지 않는 보관장치에 보관' 외엔 없는 실정이다. 이마저도 이들이 실제 이를 준수하고 있는지 여부를 확인할 길이 없다.

업계의 한 관계자는 "버블 논란과 별개로, 적지 않은 투자자들이 몰려들고 있는 현실을 감안하면 가상화폐가 금융자산의 성격임을 부인할 수 없다"며 "금융당국은 그럼에도 이의 실체를 인정하지 않고 있어, 고객자산을 보호할 수 있는 제도적 장치 마련에 손을 놓고 있다"고 밝혔다.

이 관계자는 "과기정통부와 방통위의 사후 관리 이후 주요 거래소들의 보안장치 강화가 미비했고, 이는 최근 벌어진 잇단 해킹 피해 사례에서 확인됐다"고 덧붙였다.

과기정통부와 한국인터넷진흥원은 코인레일과 빗썸거래소의 해킹이 e메일 피싱에 따른 것으로 보고 원인 조사를 진행하고 있다. 블록체인을 뚫어서 해킹하는 건 사실상 물리적으로 불가능한 만큼 거래소 직원 컴퓨터에서 시작해 서버로 침투하는 다운-탑 방식으로 해킹한 것으로 추정된다는 것이다.

e메일 피싱은 악성코드를 담은 문서 파일을 e메일에 첨부해 발송하고 회사 직원들이 문서 파일을 열어보면 컴퓨터가 감염되는 식이다.


코인레일과 빗썸 두 거래소 모두 해킹 전 임직원을 상대로 e메일이 다량 발송된 것으로 과기정통부는 파악하고 있다.

최근 거래를 정지한 코인레일의 경우 해킹 피해를 입기 약 10일 전에 약관을 변경한 것이 도마에 올랐다. 변경된 약관이 "회사의 고의 또는 과실로 인하여 발생하지 않은 손해에 대하여는 책임을 부담하지 않습니다"라고 명시하고 있기 때문이다.

빗썸의 약관도 '회사의 면책사항 및 손해배상'과 관련해 '회사의 고의 또는 중과실에 의한 경우가 아니면 배상 책임을 지지 않는다'고 명기하고 있다.

빗썸의 경우 "가상화폐 탈취로 소비자들이 입은 손실은 회사 자산으로 대체해 피해가 없게 할 것"이라고 밝혀, 이번 해킹 피해로 소비자 보상과 관련한 논란이 불거질 가능성은 높지 않다.

그러나 가상화폐 거래소 전반의 보안상태가 미비한 상황에서, 이들의 '면책' 범위를 높이고 있는 약관 자체를 손볼 필요성이 있다는 의견도 대두되는 상황이다.

차제에, 가상화폐를 합법도 아니고 불법도 아닌 회색지대에 두고 '방치'하고 있는 정부의 스탠드도 바뀌어야 한다는 목소리도 높다. 가상화폐 중개를 '통신판매업'으로 규정하고 느슨하게 관리한 결과 업체의 대응도 소극적이고 소비자 피해 위험도 갈수록 높아지고 있기 때문이다.

한시라도 빨리 관련한 법령과 보안 표준을 마련하고, 이를 준수하지 않는 기업들에겐 엄중한 징벌을 내려야 한다는 것이다.

[머니투데이방송 MTN = 서정근 기자 (antilaw@mtn.co.kr)]

머니투데이방송의 기사에 대해 반론·정정추후 보도를 청구하실 분은 아래의 연락처로 연락주시길 바랍니다.

고충처리인 : 콘텐츠총괄부장 ombudsman@mtn.co.kr02)2077-6288

MTN 기자실

경제전문 기자들의 취재파일
전체보기

    Pick 튜브

    기사보다 더 깊은 이야기
    전체보기

    엔터코노미

    more

      많이본뉴스