잇따른 대형 보안 사고로 불안이 커지고 있는 가운데 1000만 명이 넘는 국내 가상화폐 투자자의 정보를 다루는 거래소들의 보안 체계는 여전히 취약하다는 지적이 제기된다. 최소한의 개인정보보호 역량 인증서로 여겨지는 ISMS-P조차 취득하지 않은 거래소가 많고 보안 투자 역시 미흡하다는 평가다.

4일 한국인터넷진흥원(KISA)에 따르면 현재 운영 중인 국내 가상화폐 거래소 상당수가 여전히 ISMS-P 인증을 취득하지 않은 것으로 나타났다. 올해 금융위원회 금융정보분석원(FIU)의 가상자산사업자(VASP) 신규·갱신 신고를 통과한 원화 미지원(코인마켓) 거래소 6곳 중 1곳을 제외하고는 모두 개인정보보호 요건은 포함하지 않은 ISMS 인증만 보유한 상태다. 원화 거래를 지원하는 주요 거래소 중에서도 고팍스가 ISMS-P 인증을 취득하지 않았다.



운영난에 시달리는 중소형 거래소에서는 오히려 인증 수준을 낮추는 역행 흐름까지 나타나고 있다. 일부 코인마켓 거래소는 인력 부족과 인증 비용 부담 등을 이유로 상대적으로 요건이 낮은 ISMS로 단계를 낮추는 방안을 검토하고 있는 것으로 알려졌다. VASP 신고 수리 요건인 ISMS 인증과 보안담당 임원 선임 등 최소 기준만 일단 충족해 턱걸이식으로 자격을 유지하겠다는 것이다.

한 코인마켓 거래소 관계자는 “사업자 입장에서는 서류만 정리해 제출하면 되는 VASP 자격 갱신과 달리 실제 보안 개발자가 투입돼 취약점을 점검하고 개선해야 하는 ISMS 인증이 비용과 인력이 더 많이 들어 오히려 난이도가 높다”며 “내부에서도 ‘ISMS만 유지하자’고 건의하는 분위기다”고 전했다.

주요 거래소 역시 보안 투자와 전담 인력 확보가 부족한 상태다. KISA에 정보보호 현황을 공시한 업비트·빗썸·고팍스 등 주요 거래소 3곳의 정보보호 투자액은 정보기술(IT) 부문 총 투자액 대비 10% 안팎 수준에 머물렀다. 전체 IT 인력 중 정보보호 전담 인력 비율도 업비트 9%, 빗썸 10.2%, 고팍스 12.5% 수준에 그친다. 24시간 운영하며 수백만 명의 개인정보와 자산을 관리하는 사업자임을 고려하면 보안 투자에 소홀한 것 아니냐는 비판이 제기된다. 국내 3·4위 거래소 코인원·코빗의 경우 정보보호 자율공시조차 아예 하지 않고 있다.

정보보안책임자(CISO)와 개인정보보호책임자(CPO)를 한 명이 겸직하는 관행도 또 다른 문제로 꼽힌다. 현재 국내 모든 거래소는 두 직책을 겸직 체제로 운영 중인데 보안 사고가 발생할 경우 사고 대응과 책임 구조가 명확히 분리되지 않아 체계적 대응이 어렵다는 비판이 제기된다. 이러한 이유로 앞서 4월 대규모 해킹 사태를 겪은 SK텔레콤(017670)은 8월 별도의 CPO를 선임해 두 직책을 분리한 바 있다.

황석진 동국대 국제정보보호대학원 교수는 “최근 통신사와 카드사, 심지어 국내 최대 가상화폐 거래소 업비트에서까지 보안 사고가 발생하면서 국민들의 불안이 커지고 있는 상황”이라며 "ISMS-P 인증 취득과 CISO·CPO 직책 분리 등 법적 의무사항이 아닌 부분도 보완해 보안 수준을 높일 필요가 있다”고 지적했다.

김정우 기자