화이트 해커와 사이버보안 연구원 등이 만들었다는 암호화폐 거래소 코인레일이 10개월 만에 해킹에 맥없이 뚫리면서 거래소들의 보안 취약성이 다시 도마에 올랐다. 특히 정부가 거래소에 대해 정보보호관리체계(ISMS) 인증을 받도록 했지만, 빗썸·업비트·코인원·코빗 등 어느 한 곳도 ISMS를 도입한 곳은 없는 것으로 확인돼 거래소들의 보안 불감증이 심각한 것으로 나타났다.

11일 관련 업계에 따르면 과학기술정보통신부는 지난해 12월 빗썸·업비트·코인원·코빗 등 대형 거래소 4곳에 대해 ISMS 인증 의무대상으로 지정하고 통보했지만, 어느 한 곳도 ISMS 인증을 받지 않았다.

과기정통부가 주관하고 한국인터넷진흥원(KISA)이 인증하는 ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위해 기술적, 물리적, 관리적 보호조치 등 종합적 정보보호 관리체계를 갖췄는지 검증하는 제도다. 국가가 기업 또는 조직이 보유한 기업정보와 산업기밀, 개인정보 등의 중요한 정보자산이 안전하고 신뢰성 있게 관리되고 있음을 확인해주는 인증제도인 셈이다. 과기정통부는 매출액 100억원 이상, 일일평균 방문자수 100만명 이상인 곳은 ISMS 인증 의무대상으로 지정한다.



특히 코인레일은 지난 3월 “고객이 안심할 수 있는 거래소를 만드는 것이 최우선 목표”라며 “보완체계 심층 구축 작업을 진행하기 위해 금융·관공서에 준하는 정보보호관리체계(ISMS) 인증을 구축하겠다”고 약속했지만 심의를 위한 신청접수 조차 하지 않은 것으로 확인됐다. 말로만 ‘안전한 거래소’를 앞세운 셈이다. KISA측 관계자는 “코인레일이 ISMS 허가를 받기 위한 인가를 요청한 적도 없다”며 “자체적으로 인증을 위해 진행하겠다는 의미일 것”으로 해석했다. 그러면서 “해킹사태 이후 KISA에 접수된 건에 대해선 조사 중에 있다”고 덧붙였다.

그러나 이번 조사가 이용자 피해보상과는 관련이 없다. 거래 취약점, 원인분석 등 개선이 필요한 부분에 대해 ‘기술적 지원’을 위한 조사로 이용자 피해 보상과는 별개다. KISA 측은 “10일 당일부터 현장에 출동해 경찰청과 공동으로 사고원인을 분석하고 있다”며 “KISA는 보상이나 수사를 직접 진행하지 않는다”고 선을 그었다. 그러면서 “수사진행 상황에 따라 과기정통부 또는 범정부합동 조사부 등으로 확대될 수 있다”며 “이런 조치는 길게는 3개월 이상 소요된다”고 말했다.

한편 거래소들이 모인 한국블록체인협회는 보안 규제안 마련에 나선다. 코인레일은 협회에도 가입하지 않은 상태다. 전하진 한국블록체인협회 자율규제위원장은 “협회는 회원들에게 최소한의 안전조치를 마련하고 운영할 것을 권고하고 있다”며 “코인레일은 국내 상위 거래소임에도 불구하고 협회에 가입돼 있지 않아 보안상황을 확인해 보지 못했다”고 전했다. 이어 “거래소는 많은 자금이 유통되는 만큼 늘 해킹 위험에 노출돼 있다”며 “자금 운영경험이 없는 신규 거래소들은 은행·증권사에 비해 보안에 미흡한 모습을 보인다”고 지적했다. 협회는 거래소에 최소한의 안전조치를 권고하고 보안 관련 이슈를 예방하기 위한 규제안을 마련할 방침이다. /신은동 인턴기자 edshin@decenter.kr

신은동 기자

edshin@decenter.kr