"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론

ISMS 인증 획득한 빗썸, 업비트…올해 한 차례씩 암호화폐 유출

"현 암호화폐 거래사이트 운영구조, ISMS 기준 적용 무리"

서울 강남구 업비트 본사. 2018.12.21/뉴스1 © News1 이승배 기자

(서울=뉴스1) 송화연 기자,이수호 기자 = '회원 수 120만명' '증권사 MTS 수준의 안전한 거래'를 자랑하던 국내 암호화폐 거래사이트 업비트가 지난달 27일 핫월렛 해킹 공격으로 580억원 규모의 암호화폐를 탈취당했다.

업비트는 지난해 11월 한국인터넷진흥원(KISA)으로부터 정보보호관리체계(ISMS) 인증을 취득하며 '안전한 거래환경을 위해 최고 수준의 보안전문가들과 보안 시스템을 갖춰나가겠다'고 홍보했지만 보안사고를 피하지 못했다. 관련 업계는 국내 거래사이트의 부족한 보안역량을 지적하며 정부 주도의 기업보안평가인 'ISMS' 역시 유명무실하다고 지적한다.

ISMS 인증은 기업이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도다. 물론 ISMS 인증이 해킹사고로부터 완벽한 안전을 보장하진 않는다.

암호화폐 거래사이트의 ISMS 인증은 암호화폐 해킹 예방과 투자자 피해를 최소화하자는 취지로 시작됐다. 과학기술정보통신부와 KISA는 지난 2018년 1월, 매출액 100억원 이상, 일 평균 방문자 100만명 이상의 암호화폐 거래사이트에 대한 ISMS 인증을 의무화했다. 업비트를 포함한 코빗, 빗썸, 코인원 등이 지난해 말 ISMS 인증을 획득했다.

그러나 ISMS를 획득한 국내 거래사이트의 암호화폐 유출사고는 반년에 한 번꼴로 이어지고 있다. 앞서 빗썸은 지난 3월 내부자 횡령으로 수백억원의 암호화폐가 유출됐다.

한호현 한국전자서명포럼 의장은 KISA의 ISMS 부실인증 가능성을 제기했다. 한 의장은 "ISMS가 중앙집중시스템에 최적화돼 있어 블록체인과 같은 분산처리시스템에서는 대응기준을 적용할 수 없다"며 "암호화폐 거래사이트의 체계와 운영구조로 볼 때 ISMS 기준을 적용하기 어렵다"고 주장했다. 그는 "암호화폐 거래업계가 대규모 해킹으로부터 이용자의 암호화폐 피해를 막자는 취지에서 ISMS 인증을 적극 추진해왔으나 이 같은 발상 자체가 잘못됐다"고 덧붙였다.

그의 주장에 따르면 ISMS 인증기준은 피인증기관(거래사이트)의 필요에 따라 가감할 수 있다. 한 의장은 "거래사이트의 특성을 반영해 인증에 필요한 기준을 가감하게 되면 법 제도가 만든 ISMS 인증기준의 상당수가 무용지물이 된다"며 "ISMS 기준에 부적합한 인증기준이 있는데 심사위원이 이를 기초로 심사하고 인증했다는 점도 문제"라고 강조했다.

이에 대해 과학기술정보통신부는 "가상자산 취급업소(암호화폐 거래사이트)는 모든 ISMS 인증기준을 적용하고 있고 그간 침해사고 원인 및 서비스 특성을 반영해 추가적으로 강화된 심사항목을 적용하고 있다"며 "보안수준 강화를 위해 ISMS 인증 의무화 및 ISMS 인증기준 강화방안을 연내 마련해 내년에 관련 법령 및 고시 개정을 추진할 예정이다"고 밝혔다.

그러나 문제는 ISMS의 인증조차 받지 않은 중소 거래사이트가 대다수라 추가적인 암호화폐 탈취 위험이 도사리고 있다는 것이다. KISA의 2018년 실태조사에 따르면, 침입차단시스템이나 개인정보 암호화 조치 등 최소한의 정보보호 조치도 취하지 않은 국내 암호화폐 거래사이트가 허다했고 중소 거래사이트일수록 보안이 더욱 취약했다.

보안업계에 따르면 암호화폐 거래소를 만드는 데 투자되는 비용은 20억~30억원 수준이다. 반면 보안에 필요한 투자는 최소 50억원, 제1금융권 수준으로 구축하려면 100억원 이상이 든다. 이 때문에 업계에선 현실적으로 상위 업체 몇 곳을 제외하면 자발적으로 보안 시스템을 갖추긴 어려울 것으로 보고 있다.

암호화폐 거래업계 자율규제에 기댄 정부의 허술한 관리가 피해를 키우고 있다는 지적도 나온다. 업계는 암호화폐 해킹사고가 빈번히 발생하자 자율적으로 보안 지침을 만들고 준수하는 '자율규제 체계'를 채택하고 있다.

국내 개발업계 한 관계자는 "거래사이트의 해킹사고의 모든 피해는 결국 투자자가 지게 되는 것인 만큼 이용자 보호를 위한 강력한 규제안이 마련돼야 한다"는 의견을 피력했다. 보안업계 관계자는 "보안 투자는 일회성으로 끝나는 것이 아니라 체계적인 관리가 계속해서 필요한 만큼, 제도적 보완이 반드시 필요한 때"라고 말했다.

이에 대해 과학기술정보통신부는 "가상자산 취급업소에 대한 금융정보분석원 신고의무 등을 규정한특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 개정안이 지난달 25일 국회 소관 상임위(정무위)를 통과해 법사위에 계류 중"이라며 "이 법이 국회를 통과하면 ISMS 인증 의무화 및 가상자산 취급업소의 관리가 한층 강화될 것"이라고 설명했다.
hwayeon@news1.kr

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]