그동안 빗썸이 ‘제1금융권 수준의 보안 시스템을 확보했다’고 주장하는 근거가 됐던 안랩의 통합보안 솔루션은 사실상 외부 해킹 방어와는 무관한 고객 PC 보안프로그램인 것으로 확인됐다. 외부 해킹으로부터 거래소가 보유한 고객 자산을 지키는 형태의 보안 수준은 여전히 전통 금융권에 미치지 못한다는게 업계의 지적이다. 이에 정부가 예고한 거래소 규제안에서 엄격한 보안 기준이 나와야 한다는 주장도 나온다.
빗썸이 지난 2월 도입안 보안 솔루션 ‘안랩(Anlab) 세이프 트랜잭션’은 거래소를 이용하는 개인 고객의 PC를 대상으로 한 보안 프로그램 제품이다. 이는 고객 PC가 아닌 이번에 공격 대상이 된 회사 내부 시스템에 대한 보안과는 상관이 없다는 의미다. 빗썸은 지난 2월 안랩 세이프 트랜잭션 도입 사실을 공개하면서 “(암호화폐 거래소) 업계 최초로 제1금융권에서 적용되고 있는 보안 솔루션을 도입했다”고 발표했다.
통상 기업들은 내부 시스템 보안을 위해 사용하는 솔루션은 잘 공개하지 않는다. 빗썸 역시 회사 내부 시스템의 보안 체계에 대해서는 “관련 내용은 외부로 유출됐을 시 악용될 소지가 있어 공개할 수 없다”고 말했다.
빗썸의 보안 체계를 검토한 전문가들은 빗썸의 보안시스템이 금융권 수준에는 미치지 못한다는 의견을 내놓은 것으로 알려졌다. 전하진 한국블록체인협회 자율규제위원장은 빗썸 해킹사건 이후 기자와 만나 “현재 협회는 빗썸을 포함한 12개 회원사를 대상으로 보안 현황 등에 대한 자료를 제출받아 현재 검토를 진행하고 있다”며 “거래소들이 보안에 힘쓰고 있다지만 금융계 기준에서 보면 아직 부실하다는 의견이 나오는 것이 사실”이라고 설명했다. 그는 이어 “7월 초 심사결과가 나올 예정이지만, 이번 해킹 사고를 보며 보안에 대한 자율규제 심사 기준을 보다 강화해야 한다는 생각이 든다”고 덧붙였다.
한국블록체인협회는 현재 빗썸 등 회원사에 대한 자율규제 심사를 진행 중이다. 심사 항목에는 △콜드월렛 보관 비중 △거래소 특성에 기초한 전자 보안 시스템 △이용자 보호 대책 등이 포함됐다.
전 위원장은 거래소 보안체계를 근본적으로 개선하기 위해서는 결국 정부 차원의 명확한 규제가 필요하다고 주장했다. 이와 관련 지난 19일 금융위원회는 자금세탁 방지에 초점을 맞춘 암호화폐 거래소 신고제 도입을 위해 법 개정을 추진 중이라 밝히기도 했다. 법안이 시행되면 암호화폐 취급업소는 금융정보분석원(FIU)에 사업자 신고를 해야 하며 고객 실명 확인과 자금세탁 방지 의무를 이행하게 된다. 다만 전 위원장은 이같은 발표를 두고 “금융 당국이 제윤경 더불어민주당 의원이 발의한 법안을 기초로 한 거래소 신고제 채택을 고려하고 있다고 밝혔는데, 보안과 관련한 세밀한 심사 기준을 갖추고 있는지는 의문”이라고 우려했다.
한편 빗썸의 해킹 원인을 밝히는 데는 최소한 수 주가 소요될 것으로 전문가들은 보고 있다. 한 IT 보안업계 관계자는 “해킹 사건에 대한 조사는 디지털포렌식을 통해 내부 서버의 모든 거래 및 접속 기록을 확인해야 하는데 이러한 작업은 일반적으로 수 주 이상 소요된다”고 설명했다.
입출금 서비스 재개 일정에 대해 빗썸의 관계자는 “정확한 원인규명을 위해 KISA(한국인터넷진흥원)의 조사가 끝난 이후에 입출금 서비스를 재개할 계획”이라고 말했다.
/박정연기자 drcherryberry@decenter.kr
- 박정연 기자
- drcherryberry@decenter.kr