[빗썸 해킹]하루 수백억 오가는데 암호화폐 거래소 보안 규정조차 없어

인가·신고제 등 강력한 보안규정 필요하단 목소리 잇따라

국내 최대 암호화폐 거래소 중 하나인 빗썸까지 외부 해킹 공격에 수백억원의 피해를 입을 사실이 알려지면서 암호화폐 투자자들의 불안감이 커지고 있다.

암호화폐 거래소는 대부분 전자상거래법의 통신판매업자로 등록하고 운영하고 있는 상황이다. 등록만 하면 운영할 수 있기 때문에 명확한 보안규정이나 가이드라인 조차 없다. 전문가들은 이용자들의 돈을 많게는 수백억원 이상 보유하고 있는 거래소들에 대한 강력한 보안 규제가 필요하다고 입을 모은다. 높은 수준의 보안 투자를 요구하고, 이 기준을 충족하지 못하면 거래소 영업을 하지 못하도록 하는 규정 마련이 시급하다는 지적이다.

■빗썸도 털렸다, 열흘만에 피해액만 750억
20일 빗썸은 외부 공격에 의해 약 350억원 가량의 암호화폐를 탈취당했다고 공지했다. 이달에만 지난 10일 발생한 코인레일 해킹 사건에 이어 두번재 발생한 대규모 해킹사건이다. 코인레일 사태 당시 약 400억원에 이어 빗썸 사태로 약 350억원까지, 열흘 사이에 암호화폐 거래소에 있던 약 750억원 가량이 해커들의 손에 들어갔다.

빗썸은 해킹 피해 사실을 인지한 뒤 이용자들의 입출금 계좌를 봉쇄하고 한국인터넷진흥원(KISA)에 신고했다. KISA 측은 현재 조사관을 급파, 현장조사를 진행중이다.

빗썸은 업비트와 함께 국내 최대 암호화폐 거래소로 꼽힌다. 그동안 해킹 피해 사실이 알려졌던 코인레일이나 유빗 등과는 규모 자체가 다르다. 국내 가입자 수만 300만명이 넘는 대규모 거래소다. 게다가 빗썸은 국내 최고 수준의 보안을 유지하고 있다고 수차례 언급한 바 있다.

그럼에도 빗썸이 외부 공격에 당했다는 사실이 알려지면서 국내 암호화폐 거래소 전반에 대한 불신이 커질 수밖에 없는 상황이다. 한 암호화폐 투자자는 "그나마 빗썸이나 업비트가 가장 믿을만한 곳이었는데 빗썸도 해킹 공격에 뚫렸다"며 "명확한 보안 규정이 없기 때문에 빗썸이 얼마나 보안에 투자했는지도, 어떤 방어체계를 갖추고 있는지도 사실 확인하기 어려운 것 아니냐"고 반문했다.

■보안규정 없는 암호화폐 거래소, 투자자 피해만 눈덩이
이 투자자의 말처럼 정부는 암호화폐 거래소에 대한 보안규정을 아직 제시하지 못하고 있다. 전자상거래법으로 매출액 100억원 이상 또는 이용자 수 100만명 이상인 사업자는 정보보호관리체계(ISMS) 인증을 받도록 하고 있는 것이 전부다.

빗썸을 비롯한 국내 주요 암호화폐 거래소는 올해부터 ISMS 인증 대상 사업자로 지정됐다. 이들이 ISMS 인증 심사를 준비하고 있는 과정에서 이같은 해킹 사건이 연이어 발생하고 있는 것이다.

보안 솔루션 기업 한 관계자는 "ISMS 인증은 최소한의 보안 수준을 충족했다는 인증인데, 고객들의 돈을 수백억원씩 만지는 거래소들이 ISMS 인증으로 마치 모든 것을 다했다고 생각하는 것은 문제"라며 "정부도 ISMS 인증에만 기댈 것이 아니라, 투자자들의 피해가 이어지는 만큼 보다 강력한 보안 규정을 마련해야 한다"고 지적했다.

특히 암호화폐 거래소에서 피해가 발생할 경우는 복구가 불가능하다. 빗썸 측은 자신들이 보유한 암호화폐를 지급하는 방식으로 이용자 피해가 없도록 하겠다는 입장이지만, 이에 대한 명확한 보상규정 조차 없다.

■인가제 등 강력한 규정 마련 필요
이에 보안업계에서는 암호화폐 거래소 인가제나 신고제가 필요하다고 입을 모은다. 심사를 신청한 기업에 대해 심사를 거쳐 거래소 인가를 내주는 방식인 인가제는 미국이 도입한 방식이다. 신고제는 일본이 도입한 방식으로 거래소가 보안 규정 등을 맞춰서 신고하고 영업을 하는 방식이다.

현재 정부는 자금세탁 방지 등을 위한 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 개정 등을 통해 암호화폐 거래소를 관리하겠다는 입장인 것으로 알려졌다. 현재 금융위는 국회와 협의해 관련 입법을 추진중이다.

전문가들은 자금세탁 방지를 위한 입법과 동시에 보안 등에 관한 규정도 보다 강력하게 마련해야 할 필요가 있다고 강조한다. 일정 금액 이상의 자본금 유지, 분기 재무보고서 제출 등은 물론 이용자 보호 규정과 대책 등을 종합적으로 검토해야 한다는 것이다.

보안업체 관계자는 "자금세탁 방지 입법이 추진되고 있는 만큼 이 기회에 암호화폐 거래소에 대한 보안규정도 정립할 필요가 있다"며 "이런 제도가 도입되면 최소 100억원 이상의 보안 투자 없이 암호화폐 거래소를 운영할 수 없을 것"이라고 강조했다.

jjoony@fnnews.com 허준 기자

※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지