[비즈트리뷴] 가상화폐는 올해 하반기를 뜨겁게 달구고 있다.

 

대부분 가상화폐 거래소들이 ‘정보보호 부문’에서 준비가 덜 돼 있다는 평가를 받고 있다. 정보보호 시스템에 대해 공식으로 인증 받은 거래소가 아직 없기 때문이다.

 

지난 유빗 파산 이후 '보안' 이슈가 불거졌고, 일부 거래소에서 발생하는 서버 오류에도 이용자들 사이에서는 여러 의혹을 제기하고 있다.

국내 양대 가상화폐 거래소로 꼽히고 있는 빗썸과 업비트는 어떤 정보 보호 대책을 마련하고 있을까.

 

■ 정보 유출에 대한 투자자 우려↑...빗썸·업비트는?

 

'보안은 낙제점'이다?

 

최근 유빗 파산 사태에 이어 과학기술정보통신부가 발표한 개인정보 관련 보안 내용 등으로 인해 가상화폐 거래소 이용자들의 정보 유출 우려는 여전하다.

 

과학기술정보통신부는 주요 가상화폐 거래소에 대한 현장점검을 실시했고, 조사대상 10여개의 사업자 대부분이 개인정보 관련 보안조치가 미흡한 것이라고 발표했다.

 

과기정통부의 조사대상 10개 사업자 대부분이 접근통제장치 설치·운영, 개인정보의 암호화 조치 등 관리적, 기술적 보안조치가 전반적으로 미흡하다는 내용이었다.

 

반면 지난 11월 한국인터넷진흥원(KISA)을 통해 정보보호 현황 점검을 받은 빗썸은 대체적으로 양호한 판정을 받았다.

 

빗썸 측은 “한국인터넷진흥원 점검 결과 전체 22개 점검 항목 중 21개 항목에서 양호 판정을 받았고, 1개 항목만 통제강화 권고를 받았다”고 밝혔다.

 

이어 "11월 점검 시 보안이 전반적으로 잘 관리돼 있고 일부 부분에서 조금 더 강화해 달라는 조치를 받았다"고 설명했다.

 

다만 지난 4월 빗썸은 해커 공격을 받아 아이디와 비밀번호 등 이용자 정보 약 3만 6000여건이 유출됐다.

 

이에 대해 방송통신위원회는 빗썸에 과징금 4350만원과 과태료 1500만원이 부과한 바 있다.

 

지난 10월 출범 전 업비트는 글로벌 보안기업 '티오리'으로부터 보안 컨설팅을 받았다.

 

티오리는 세계 해킹대회 DEFCON 본선 4회 우승한 경험을 갖고 있다.

 

업비트는 또 개인정보보호를 위해 '카카오페이 인증' 및 정보유출방지 솔루션을 도입했다.

 

이와 관련 업비트는 "두나무가 이미 금융감독원 보안성 심의를 통과한 카카오스탁을 운영한 경험이 있어, 이 운영 노하우를 업비트에 적용해 선보였다"고 밝혔다.

 

■ 빗썸·업비트, 정부 규제안 적극 ‘수용’

 

빗썸과 업비트 모두 내년 정보보호관리체계(ISMS) 인증 대상이다. ISMS 인증 대상은 매출액 100억 원 이상, 일일평균 방문자수 100만 이상 거래소다.

 

지난 20일 과기정통부는 양사를 포함한 코인원과 코빗 총 4개 거래소에 대해 18년 ISMS 인증·의무대상 임을 통보하고, 조속히 인증을 이행해 줄 것을 요청했다.

 

빗썸은 19일 자사 웹사이트를 통해 "보안수준을 확장해나가기 위해 정보보호 관리체계(ISMS), 개인정보보호 관리체계(PIMS), 정보보안 국제표준 ISO27001 등 국내 개인정보보호 및 개인정보보호 관련 인증 획득을 진행하고 있다"고 밝힌 바 있다. 한국인터넷진흥원(KISA)이 ISMS와 PIMS 등 인증 제도를 운영 중이다.

 

업비트 또한 "내년 중으로 ISMS 인증 획득을 위해 현재 준비 중에 있다"고 밝혔다.

 

또 과기정통부는 정보보호대책 마련, 보안취약점 분석⋅개선 등의 역할을 수행하는 정보보호최고책임자(CISO)를 거래소별로 지정한 후 과기정통부에 신고토록 할 예정이다.

 

이를 통해 거래소 CISO와 핫라인을 구축하고 해킹 위협과 대응 방향에 대해 신속 공유해 유사 피해를 막겠다는 계획이다.

 

방송통신위원회는 개인정보유출 등 법규 위반 거래소에 대해 '서비스 임시 중지조치 제도'도 도입한다. 이와 더불어 개인정보 유출시 과징금 부과기준을 올릴 예정이다.

 

이 같은 정부 방침에 대해 빗썸 측은 "정부 조치에 대해 최대한 협조할 계획"이라고 밝혔다.

 

업비트 또한 "정부에서 만들어 나가는 모든 규제안을 적극 수용할 것"이라고 밝혔다.

 

한편 이 같은 정부 조치는 '정보통신법'에 의거한다. 일반 금융기관들과 비교했을 때 보안 수준 관련 규제가 약한 편이다.

 

현재 가상화폐 거래소의 거래 규모를 고려했을 때 금융기관 수준의 규제를 적용해야 한다는 목소리도 높아지고 있다.

 

■ 빗썸·업비트, 자체 보안 강화에도 ‘집중’

 

최근 빗썸과 업비트는 ‘내부’ 보안 강화에 더욱 집중하고 있다.

빗썸은 전자금융업계와 대등한 수준의 보안인프라 구축에 나서고 있다. 현재 외부 해킹에 대한 침입 차단 및 방지 시스템, 망분리 운영, 보안 컨설팅, 24시간 상시 모니터링 등을 실시하고 있다. 

 

특히 빗썸은 한국블록체인협회에 가입한 거래소로 정보 보호 관련 협회 자율규제안을 따를 예정이다.

 

자율규제를 준수하는 거래소는 금융업체에 준하는 정보보안 시스템, 내부 프로세스, 정보보호 인력 및 조직 등을 운영할 수 있어야 한다.

 

업비트는 현재 한국블록체인협회 가입을 검토하고 있다.

 

업비트는 최근 관련 인력을 영입하고 내부 통제도 강화하고 있다.

 

일찍이 업비트는 비트렉스(Bittrex), 티오리(Theory) 등 글로벌 및 국내 보안 전문가들과의 협업을 통해 완성도 높은 보안 기술을 확보했으며, 정보보호책임자(CISO)와 컴플라이언스 담당자를 새롭게 영입 완료한 상태다.

 

또 업비트를 운영하는 두나무 임직원은 업비트 거래를 전면 금지하며 위반 시 해고 사유에 해당되는 것으로 사규 항목에 추가된다.

 

빗썸 관계자 또한 “관련 인력을 지속해서 충원하고 있으며, 다각도로 보안 대책을 마련하고 있다"고 말했다.

 

올해로 4주년을 맞이한 빗썸은 회원수가 250만 명에 달하며, 업비트는 출범 2개월 만에 현재 회원수 120만 명이다.

 

가상화폐 관련 여러 우려 속에서도 가상화폐 열풍이 끊이지 않는 만큼 보다, 안정적인 투자 환경을 구축할 필요성이 높아지고 있다.

 

[문정은기자 mungija28@biztribune.co.kr]