미국 가상자산 거래소 코인베이스에서 이용자 개인 정보가 해킹됐다. 글로벌 1위 거래소마저 뚫리면서 국내 거래소의 보안 체계와 내부통제 수준에 대한 우려도 커지고 있다.
15일(현지시간) 코인베이스는 미국 규제당국에 제출한 보고서를 통해 지난 11일 해커가 고객 계정 관련 정보를 입수했고 내부 시스템 일부도 침해됐다고 공식 인정했다. 해커는 해당 정보를 공개하지 않는 대가로 회사 측에 2000만 달러(약 280억원)를 요구했다. 정확한 피해 규모는 확인되지 않았지만 코인베이스는 이번 사고로 최대 4억 달러(약 5881억 원) 보상 비용이 들 것으로 추산했다.
사고 원인은 내부 통제 부실로 파악된다. 코인베이스는 해외 지역 계약직 직원을 해커가 매수해 내부 시스템 접근 권한을 확보한 것으로 파악했다고 밝혔다.
도경화 서강대 컴퓨터공학과 교수는 “이번 코인베이스 해킹은 내부자를 매수한 것으로 알려졌지만, 실제 원인은 정확한 조사가 나와야 판단할 수 있다”며 “설령 내부자를 매수했다 하더라도 개인정보에 이중 보안 없이 접근할 수 있는 구조 자체는 상식적으로 이해하기 어려운 부분”이라고 지적했다.
이어 도 교수는 “이번 사고를 계기로 국내 거래소들도 내부 권한 통제 기준 강화와 인력 유·출입 관리 등 조직 차원의 구조적 보완이 함께 이뤄져야 한다”고 제언했다.
국내 가상자산 업계도 긴장하는 분위기다. 특히 코인베이스 사례처럼 내부자를 통한 정보 탈취 가능성이 현실화하면서 국내 거래소의 접근 권한 관리와 내부 통제 체계 전반이 다시 점검 대상이 되고 있다.
김형중 호서대 디지털금융경영학과 석좌교수는 “국내에선 가상자산사업자의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이 의무여서 구조적으로 개인정보 유출 가능성이 낮다”면서도 “내부통제가 허술하면 정보 유출 위험은 여전히 존재한다”고 경고했다.
ISMS-P 인증이 의무화되기 전인 2017년에는 빗썸에서 약 3만 건의 고객 정보가 유출됐다. 당시 한 직원이 고객 정보가 담긴 문서를 개인 PC에 저장한 채 악성 이메일을 열어 해킹 피해를 본 것으로 파악됐다. 내부 관리 부주의로 인한 유출 사고도 있었다. 2020년 코인원에서는 접근 권한 설정 오류로 VIP 멤버십 신청자 25명의 이름, 전화번호, 이메일 주소가 웹페이지에 그대로 노출됐다.
이 같은 사고를 방지하기 위해 디지털자산거래소 공동협의체(DAXA)는 최근 금융당국과 협의해 '전산시스템 운영 및 이용자 보호 모범규준'을 마련했다. 해당 기준은 오는 7월부터 적용되며 △사업자에 전산장애 대응 체계 구축 △정보보호 및 내부통제 강화 △이용자 피해 보상 절차 명확화 등을 공통기준으로 제시했다.
거래소들도 자체적인 보안 대응을 강화하고 있다. 빗썸은 매달 전 직원을 대상으로 보안 교육과 해킹 대응 훈련을 실시하고 있으며, 모의해킹과 포렌식 분석을 통한 시스템 점검도 병행하고 있다. 두나무(업비트 운영사)는 지난해 정보보호 전담 인력을 전년 대비 2배 확충했다. 현재 전체 IT 인력 336명 중 26명(8%)이 정보보호 인력이다.
박유민 기자 newmin@etnews.com
