국내 최대 암호화폐 거래소 업비트가 580억 규모 이더(ETH)를 도난당했다. 최근 정무위원회에서 ‘특금법’을 가결하며 암호화폐 산업 제도화를 향한 기대감이 높아지던 터라 업계에서는 걱정의 목소리가 나오고 있다. 일각에서는 암호화폐 거래소들이 대외적으로 홍보했던 ISMS/ISO 인증 체계 취득을 두고 효용성에 의문을 제기하는 상황이다. 업비트가 구축했던 보안 솔루션을 정리했다.

지난해 11월 업비트는 한국인터넷진흥원(KISA)이 발급하는 정보보호관리체계(ISMS) 인증을 획득했다. ISMS는 조직의 성격에 맞춰 정보보호 정책을 마련하고, 위험이 발생했을 경우 상시 대응책을 마련하는 정보보호 솔루션이다.

업비트는 과학기술정보통신부가 의무 대상으로 지정한 4개 거래소 중 처음으로 ISMS를 획득했다. 이후 빗썸, 코인원, 코빗이 인증을 취득했다. 고팍스는 국내 암호화폐 거래소 중에서 가장 먼저 ISMS를 취득했다. 지난 25일 국회 정무위 전체회의를 통과한 ‘특금법’ 개정안에서는 “ISMS 인증을 받지 못한 가상자산 업체는 당국이 사업자 신고를 수리하지 않을 수 있다”고 규정했다.



업비트는 ISMS를 획득한 후 국제표준화기구(ISO)가 발행하는 보안 인증도 연달아 취득했다. 종류는 △정보보안(ISO27001) △클라우드 보안 인증(ISO27017) △클라우드 개인정보 보안(ISO27018)으로 총 3가지다.

한국인터넷진흥원이 발행하는 ISMS가 국내 정보보안 체계의 표준이라면, ISO27001은 ‘글로벌 정보보안 인증의 표준’으로 평가받는다. ISO27001과 함께 취득한 ISO 27017과 ISO 27018 인증은 클라우드 서비스에 대한 정보보호와 개인정보보호를 인증하는 국제 표준이다.

해당 인증을 취득하기 위해선 클라우드 서비스에 적합한 모니터링, 운영 관리 절차, 고객 정보, 자산 삭제 등에서 정보보호 통제 시스템을 구축해야 한다. 국내에서는 업비트를 포함해 코인원, 고팍스, 비트소닉 등이 아마존웹서비스(AWS)와 같은 클라우드 서비스를 이용하고 있다.

국내외 주요 표준 획득과 더불어 업비트는 자체적으로 보안 시스템을 구축한 바 있다. 지난 8월 업비트는 카카오톡 알림 메시지를 통해 계정 접근에 주의를 주는 ‘로그인 알람’을 도입했다. 경고 메시지는 △대한민국 외 국가에서 로그인 시 △가상사설망(VPN)을 통한 로그인 시 △의심스러운 IP 주소를 통한 로그인 시 발송된다.

9월에는 모니터링을 통해 의심스러운 암호화폐 입출금 정황을 파악하는 ‘암호화폐 모니터링 시스템’을 도입했다. 시스템 강화와 함께 내부 기준에 어긋나는 의심 패턴의 입출금이 발생할 경우 ‘출금 지연’과 ‘출금 정지’의 제한 조치를 시행했다.

업비트가 규정한 의심 입출금 패턴으로는 보이스피싱, 대출사기, 계정 대여 등 전기통신금융사기와 연루된 원화 및 암호화폐 입출금 행위가 포함돼 있다. 당시 두나무 관계자는 “암호화폐 관련 전기통신금융 사기 방지를 위해 입출금 모니터링 시스템을 더욱 강화하고 출금 제한 조치를 운영하기로 결정했다”고 말했다.

지난 1월 업비트는 홈페이지를 통해 “국내 거래소 중 보안능력 1위를 차지했다”고 밝혔다. 글로벌 암호화폐 마켓 평가 분석 기관 CER(Crypto Exchange Ranks) 보고서에 따르면 코인마켓캡 100위권 거래소 기준 업비트가 전 세계 거래소 중 14위, 국내 거래소 중에서는 1위를 차지했다는 것이다.

당시 업비트는 “(평가 기준 사항 중 하나였던) 크라우드소스 보안은 현재 버그 바운티(Bug Bounty) 프로그램을 운영하지 않아 0점 처리되었으나, 그 항목을 제외하면 전체 거래소 중에서는 세계 4위에 해당된다”며 고객 정보 보호에 자신을 보였다.

한편 지난 27일 580억 규모 ETH를 도난당한 업비트는 아직 해킹인지, 내부자 소행인지 정확한 입장을 밝히지 못하고 있다. 국내를 대표했던 암호화폐 거래소였던 만큼 이번 대규모 암호화폐 도난 사태는 각종 거래소 보안 이슈에 불을 지필 것으로 보인다.
/조재석기자 cho@decenter.kr

조재석 기자

cho@decenter.kr