암호화폐거래소 '해커 놀이터' 된 이유...ISMS인증 0건·CISO는 대표가 겸직

글자 작게 글자 크게 인쇄하기
암호화폐거래소 '해커 놀이터' 된 이유...ISMS인증 0건·CISO는 대표가 겸직

암호화폐거래소 보안이 여전히 허술하다. 최근 금융회사 수준으로 보안을 강화하겠다고 밝혔지만 대형 암호화폐거래소조차 정보보호관리체계(ISMS) 인증을 획득하지 못했다. 보안을 총괄하는 정보보호최고책임자(CISO)도 대표가 겸직, 형식 대응에 그치는 수준이다. 홍보에만 치중된 암호화폐거래소에 해킹 우려가 다시 불거지고 있다.

18일 전자신문이 국내 암호화폐거래소 대상 ISMS 인증 여부를 조사한 결과 인증을 획득한 거래소는 단 한 곳도 없었다. 일부 거래소가 인증을 준비하고 있지만 수차례 해킹 사고가 발생한 이후여서 대응이 늦었다. ISMS는 대내외 위협으로부터 정보 유출 피해를 사전에 방지하도록 기업 스스로 수립·운영하는 정보보호 관리 체계로, 정부가 인증하는 제도다.

과학기술정보통신부는 지난해 12월 범부처 암호화폐 긴급회의를 열고 후속 조치로 일정 규모 이상(매출액 100억원 이상, 일일 평균 방문자 100만명 이상) 거래소는 올해 내 ISMS 인증을 받도록 했다. 빗썸, 코인원, 코빗, 업비트 등 4개 거래소가 ISMS 인증 의무 대상에 해당된다. 정부는 거래소 보안 강화 시급성 등을 감안, 조속한 인증 이행을 당부했다.

아직까지도 인증 의무 대상 4개 거래소 가운데 ISMS 인증을 신청한 기업은 없다. 빗썸은 지난달 ISMS 인증을 위해 신청서를 제출했지만 한국인터넷진흥원(KISA)이 서류 미비로 반려, 인증을 받기 위해 다시 준비하고 있다.

업비트는 이달 말 ISMS 인증 신청 예정이다. 코인원, 코빗도 신청 준비 단계에 있다. 과기정통부 관계자는 “지난달 빗썸이 먼저 ISMS 인증을 신청했지만 반려돼 인증 심사 기업은 고팍스가 유일하다”면서 “ISMS 신청 준비에 많은 시간이 소요될 뿐만 아니라 심사에도 최장 3개월 이상 시간이 걸리는 만큼 당장 인증을 받기에는 어려움이 있다”고 설명했다.

암호화폐거래소 '해커 놀이터' 된 이유...ISMS인증 0건·CISO는 대표가 겸직

암호화폐거래소 CISO 선임도 문제다. 과기정통부에 CISO 선임 완료를 신고한 암호화폐거래소는 총 21곳이다. 국내 암호화폐거래소 대부분 CISO를 선임했다. 그러나 대형 거래소조차 형식에 그친 것에 불과하다. 대형 거래소 C사는 대표가 CISO를 겸직하고 있다. 중대형 거래소 상당수는 임원이 아닌 부장급을 선임하거나 다른 부서 직원을 선임해서 겸임하게 했다.

보안업계 관계자는 “암호화폐 보안 컨설팅 등을 진행한 결과 4대 주요 거래소를 제외한 대부분 거래소는 기본인 망 분리조차 갖추지 않았다”면서 “망 분리가 의무 사항은 아니지만 연이은 해킹 사태가 터지면서 거래소 보안 강화가 절실하다”고 설명했다.

거래소는 그동안 한국블록체인협회 통해 자율 규제안을 만들었다. 협회는 금융권 수준으로 보안 체계를 갖추겠다고 공언했다. 금융권 5·5·7 규정(전체 인력 5%는 IT 인력, IT 인력 5%는 정보보호 인력, 전체 IT 예산 가운데 7%는 정보보호 예산 배정 준수)을 준수하겠다는 선언도 했다.

협회 공언은 구호에 그쳤다. 협회 가입이 의무가 아니기 때문에 상당수 암호화폐거래소는 이 공언을 따르지 않았다. 기존 회원사조차 보안 체계를 갖추지 않았다.

정부 정책도 한계가 있다. 암호화폐 규정이나 가이드라인 부재로 은행이나 증권처럼 보안을 강제하기가 어려운 형편이다. 국회 차원에서 암호화폐거래소 보안 의무 강화, 피해자 보호 등 법안이 발의됐지만 통과하지 못했다. 김승주 고려대 정보보호대학원 교수는 “암호화폐거래소 보안 강화 등 강제성을 부여하기 위해서는 암호화폐를 규정해야 거래소 제재가 가능하다”면서 “자율 규제에 맡기고 개인 투자자에게 위험성을 알릴 것인지 암화화폐를 법 규제 선상에 놓을지 판단해야 한다”고 말했다.

정영일기자 jung01@etnews.com, 길재식 금융산업 전문기자 osolgil@etnews.com