'해커 먹잇감'된 가상통화 거래사이트…대책 없나

하루 수백억 거래돼도 ISMS 인증 획득 '0곳'…특단의 대책 마련돼야

“터질 게 터졌다.” 코인레일에 이어 국내 최대 가상통화 거래사이트 빗썸마저 해킹 사고를 당하면서 보안 전문가들이 이구동성으로 내놓은 분석이다. 국내외 보안 관련 기관들은 올해 사이버 공격 트렌드로 가상통화 거래 사이트 해킹이 크게 늘 것이라고 경고해왔다. 그럼에도 거래 사이트들의 보안 수준은 여전히 낙제점 수준이다. 이들 사이트에서 하루에 많게는 수백억원대 자산이 오가는 상황을 감안하면 대규모 이용자 피해도 우려된다. 특단의 대책이 마련돼야 한다는 지적이다.

◇ 수천억 이익 내고도 ISMS 인증은 ‘0곳’=KISA(한국인터넷진흥원)에 따르면, 국내 가상통화 거래사이트 중에서 정보보호관리체계(ISMS) 인증을 획득한 곳은 전무하다. ISMS 인증은 사업자가 보유한 정보나 시스템이 안전하게 보호되고 있는 지 여부를 평가하는 기초적인 인증제도다. 지난 3월 과학기술정보통신부와 KISA가 국내 21개 가상통화 거래 사이트를 점검한 결과, 대부분의 사이트에서 보안 취약점이 발견됐으며, ISMS 인증을 받은 곳은 단 한 곳도 없었다. 매출액 100억원 이상 또는 이용자수 100만명 이상 웹사이트를 갖춘 곳은 의무적으로 ISMS 인증을 받아야 한다. 하지만 직전 연도 매출과 이용자수를 기준으로 모두 의무 대상이 아니라는 이유를 대면서 자발적으로 인증을 받고자 하는 시도는 없었다.

올들어서야 빗썸, 업비트, 코인원, 코빗 등 일부 상위 거래 사이트들이 신규로 ISMS 인증 대상자로 지정됐지만, ISMS 인증절차를 통과한 곳은 아직 없다. 그마다 이들은 보안 시스템에 대한 투자를 진행하는 곳들이다. 상당수 가상통화 거래사이트들의 경우 사실상 사이버 공격에 무대책이다. 과기정통부에 따르면, 접근통제장치 설치·운영, 개인정보취급자의 비밀번호 작성규칙 수립 등 정보통신서비스제공자로서 기본이 되는 보호조치조차 준수하지 않고, 외부망과 내부망을 분리하지 않거나 방화벽 조차 갖춰지지 않은 곳들도 있었다.

지난 4월 과기정통부는 보안 점검을 단행했던 가상통화 거래 사이트들을 상대로 보안 미비점들을 통보했지만, 이에 대한 개선이 제대로 이뤄지지 않고 있다는 지적이다. 과기정통부는 빗썸 해킹사고를 계기로 이들 업체가 신속히 개선사항을 이행할 것을 독려하고, 9월 확인하겠다고 밝혔다.

◇ 특단의 대책 마련돼야= 문제는 그렇다 해도 이를 제재하거나 시정명령 할 수 없다는 것. 제도적으로 가상통화 거래에 대한 법적 근거가 없어 거래 사이트들의 지위 역시 단순 통신 판매 사업자에 불과하다. 업계의 한 관계자는 “ISMS 대상 사업자라도 과태료 3000만원 내고 인증을 받지 않으면 강제할 방법이 없다”며 “매출과 비교해 과태료가 턱없이 적어 사실상 실효성이 없다”고 말했다.

보안 전문가들은 ‘가상통화 거래업’의 법적 규정과는 별개로 국민들의 자산을 취급하는 업종에 대해서는 주요 보안 점검을 의무화하는 제도를 검토할 필요가 있다고 지적한다. 현재 금융·통신업 등은 주요 정보통신기반시설로 보고 감독기관으로부터 주기적인 보안 점검을 받지만 통신판매업자인 가상통화 거래 사이트가 이를 지켜야 할 의무가 전혀 없다. 업계 관계자는 “자산 거래량을 감안할 경우 정보통신기반시설기준 수준의 보안 수준이 요구됨에도 이를 갖추지 않는 것은 문제”라며 “가상통화 거래업의 법적 근거와 상관없이 일정 자산을 취급하는 업종에 대해서는 정보통신기반시설에 준할 수 있는 법적 조치를 의무화하는 방안을 검토해야 할 것”이라고 밝혔다.

일각에서는 가상통화 거래사이트 해킹이 빈번한 만큼, 이번 기회에 철저한 조사를 통해 고객들에게 피해를 입힌 곳들을 대상으로 일벌백계해야 한다는 목소리도 있다.