국내 주요 가상화폐거래소 10곳 중 한 곳도 보안점검기준을 통과하지 못했다. 거래소는 침해사고 예방과 대응 인식이 부족했다. 서비스 안전성을 확보하는 정보보호 시스템 도입이 미흡했다.
변재일 더불어민주당(과학기술정보방송통신위원회) 의원이 과학기술정보통신부와 한국인터넷진흥원에서 받은 '가상화폐거래소 보안 취약점 점검 결과'에 따르면 거래소 보안은 낙제점이다. 거래소를 대상으로 한 해킹과 개인정보유출 사고 위험이 높다.
과학기술정통부는 KISA와 함께 지난해 9월부터 12월까지 업디트, 빗썸, 코빗, 유빗 등 가상화폐거래소 10곳을 점검했다. △시스템 보안관리 △백업운영 △망분리 여부 등 51개 보안 점검 기준을 통과한 업체는 단 한 곳도 없었다.
거래소는 기초 네트워크 보안 솔루션이 방화벽도 없었다. 일부 거래소는 업무용 노트북의 반입과 반출을 자유롭게 허용했다. 무선인터넷 공유기로 업무와 주요망을 관리하는 등 곳곳에 보안 허점이 있다. 주요 시스템에 대한 접근통제도 부실했다.
변재일의원은 “국내 가상화폐 거래소의 연 수익은 1조원이 넘어서는 것으로 추정되는데 보안 수준은 취약했다”면서 “가상화폐거래소는 해킹과 개인정보 유출 피해가 없도록 보안과 개인정보보호 수준 향상을 위한 기술·관리적 개선조치를 취해야한다”고 강조했다. 변 의원은 “그간 기업 부주의로 개인정보 유출 사고가 발생해도 사업자제재는 솜방망이 처벌에 그쳤다”면서 “기업 보호조치 소홀로 개인정보가 유출됐을 때 부과되는 과징금을 상향하고 임시중지 명령 제도를 도입해 이용자를 보호하도록 정보통신망법 개정안 발의를 준비 중”이라고 밝혔다.
<가상화폐거래소 보안취약점 점검 결과>
김인순 보안 전문기자 insoon@etnews.com
