"암호화폐 거래소는 해커에게 최고의 시장"

정부 기본보안인증 조차 연내

신청 후 인증 결과까지 7개월에서 12개월 소요돼

해커에게 암호화폐 거래소는 최고의 타깃

ISMS 인증은 범용적 조치, 고객 보호하겠다는 사명감 있어야

외부의 해킹 위협은 줄을 잇고 있지만 정작 정부의 기본 인증을 받는 것조차 연내에는 불가능해 보인다. 국내 암호화폐 거래소 보안 체계의 현주소다.

지난해 4월과 10월 유빗에 이어 최근 코인레일까지 연이어 암호화폐 거래소가 해커의 공격 대상으로 노출되면서 보안 문제는 암호화폐 업계 최대의 논쟁거리가 되고 있다. 한번 해킹 사고가 일어나면 피해금액이 수 백억원에 이르는 만큼 이제는 거래소의 서버 점검 소식만 알려져도 시장에서 해킹설이 돌 만큼 투자자들의 불안감은 높아지고 있다. 이에 거래소들이 정부의 기본 보안 인증을 시작으로 제3자 보안컨설팅을 받는 등 투자자 보호를 위해 보다 적극적인 보안 강화 조치를 취해야 한다는 목소리가 커지고 있다.

◇ 암호화폐 거래소 해킹은 기대수익 높은 작업= 사이버보안연구 센터장을 맡고 있는 김용대 카이스트 전기전자학과 교수는 “거래소는 해커에게 최고의 마켓”이라고 했다. 그는 “증권사는 훨씬 큰 돈을 다루지만 망이 분리돼 있어 원장이 증권사에 있지 않지만 거래소는 원장 자체가 포함돼 있다”며 “(게다가) 코인 혹은 토큰을 훔쳐 신속하게 빼돌리면 다 자신의 돈이 될 수 있기 때문”이라고 말했다.

실제 금전적 이익을 추구하는 해커가 모든 금융기관을 공격하진 않는다. 이들은 공격 성공 가능성, 성공했을 때의 기대수익, 그리고 발각되었을 때의 처벌 수위 등을 고려한다. 한 블록체인 개발사 관계자는 “거래소 해킹은 ROI(투하자본대비수익률, Return on Investment)가 높은 행위”라면서 “현재도 해킹 시도는 계속되고 있다고 봐야 한다”고 지적했다.

실제 해커들의 국내 암호화폐 거래소 공격 시도는 점차 늘어나고 있다는 게 업계의 설명이다. 빗썸은 15일과 16일 긴급 서비스 점검을 실시하면서 그 배경을 ‘지속적인 비정상적인 접근 시도’라고 설명했다. 이에 대해 일각에서는 ‘비정상적 접근 시도’가 해커들의 공격이 아니냐며 불안해했다. 빗썸 관계자는 “해킹 당하진 않았다”면서도 “해킹시도가 늘어 점검에 들어간 것”이라고 밝혔다.

◇ 국내 거래소, ISMS 인증 연내 받기는 힘들 듯= 이에 거래소들은 정부의 보안 인증인 정보보호관리체계(ISMS) 인증 등 보안 강화에 총력전을 펼치고 있지만, 연내 ISMS 인증을 받기는 쉽지 않을 전망이다. ISMS 인증제도는 한국인터넷진흥원(KISA)의 종합적인 심사를 거쳐 부여하는 보안인증으로 기업이나 기관이 정보통신망의 안전성과 신뢰성 확보를 위해 스스로 수립하고 운영하는 정보보호체계가 적합한지에 대한 평가가 이뤄진다. 지난해 12월 과학기술정보통신부는 코인원, 빗썸, 업비트, 코빗 등 4개 암호화폐 거래소에 대해 KISA에서 ISMS 인증 심사를 받을 것을 권고했다. KISA의 올해 시장 조사 결과에 따라 인증을 받아야 할 암호화폐 거래소가 추가될 가능성도 있다.

다만 암호화폐 거래소 가운데 정보보호관리체계(ISMS) 인증을 신청한 곳은 현재 없다. 단 한 곳이 지난 5월 인증을 신청했지만 보완해야 할 점이 있어 KISA 측이 재제출을 요구했다. 암호화폐 거래소에 대한 ISMS 인증이 전례가 없고 적합성을 평가해야 하는 인증기준도 104개에 달해 물리적으로 연내 ISMS 인증을 받는 거래소가 나오기는 쉽지 않다는 게 업계의 시각이다. 김선미 KISA 보안인증지원단 팀장은 “업체에서 인증을 신청하게 되면 내부에서 3개월에서 6개월 동안 분석을 위한 기준을 세우게 된다”면서 “기준이 정해진 후 업체에 대한 검토가 다시 3개월에서 6개월 정도 걸린다”고 설명했다. 김 팀장은 “인증 신청 접수 후 최종결정까지 7개월에서 12개월의 시간이 필요하다”면서 “만약 거래소가 이달 내에 완벽한 신청서를 제출하면 11월이나 12월에 승인이 날 수도 있다”고 밝혔다.

◇ ISMS는 범용 인증, 보안은 해커와의 경쟁= 업계에서는 ISMS 인증은 기초 인증일 뿐 해킹에 대비하기 위해서는 그 이상의 보안 강화 노력이 필요하다고 보고 있다. 대학병원과 직방 등 인터넷 플랫폼이나 파고다아카데미와 같은 교육업체도 ISMS 인증을 받았는데, 해커 입장에서 이들 업체보다 해킹에 따른 경제적 보상이 훨씬 큰 암호화폐 거래소는 더 높은 보안 체계를 갖추어야 한다는 지적이다.

김용대 교수는 “거래소 전체의 보안 수준을 뭐라고 말하기는 어렵지만 거래소마다 내부 취약점이 있다”고 지적하면서 “ISMS 인증을 받는다고 해서 대비가 완전하진 않다”고 지적했다. 그는 “인프라, 하드 혹은 콜드 월렛, 네트워크, 고객센터 등 새로운 부분이 추가될 때마다 외부 컨설팅업체와 같은 제 3자에게서 점검을 받아야 한다”면서 “(거래소는) 사업을 한다는 수준에서 더 나아가 고객을 보호해야 한다는 사명감이 있어야 한다”고 조언했다.
/심두보기자 shim@decenter.kr 김연지 인턴기자 yjk@decenter.kr

[ⓒ 서울경제, 무단 전재 및 재배포 금지]