◇ 수천억 이익 내고도 ISMS 인증은 ‘0곳’=KISA(한국인터넷진흥원)에 따르면, 국내 가상통화 거래사이트 중에서 정보보호관리체계(ISMS) 인증을 획득한 곳은 전무하다. ISMS 인증은 사업자가 보유한 정보나 시스템이 안전하게 보호되고 있는 지 여부를 평가하는 기초적인 인증제도다. 지난 3월 과학기술정보통신부와 KISA가 국내 21개 가상통화 거래 사이트를 점검한 결과, 대부분의 사이트에서 보안 취약점이 발견됐으며, ISMS 인증을 받은 곳은 단 한 곳도 없었다. 매출액 100억원 이상 또는 이용자수 100만명 이상 웹사이트를 갖춘 곳은 의무적으로 ISMS 인증을 받아야 한다. 하지만 직전 연도 매출과 이용자수를 기준으로 모두 의무 대상이 아니라는 이유를 대면서 자발적으로 인증을 받고자 하는 시도는 없었다.
지난 4월 과기정통부는 보안 점검을 단행했던 가상통화 거래 사이트들을 상대로 보안 미비점들을 통보했지만, 이에 대한 개선이 제대로 이뤄지지 않고 있다는 지적이다. 과기정통부는 빗썸 해킹사고를 계기로 이들 업체가 신속히 개선사항을 이행할 것을 독려하고, 9월 확인하겠다고 밝혔다.
보안 전문가들은 ‘가상통화 거래업’의 법적 규정과는 별개로 국민들의 자산을 취급하는 업종에 대해서는 주요 보안 점검을 의무화하는 제도를 검토할 필요가 있다고 지적한다. 현재 금융·통신업 등은 주요 정보통신기반시설로 보고 감독기관으로부터 주기적인 보안 점검을 받지만 통신판매업자인 가상통화 거래 사이트가 이를 지켜야 할 의무가 전혀 없다. 업계 관계자는 “자산 거래량을 감안할 경우 정보통신기반시설기준 수준의 보안 수준이 요구됨에도 이를 갖추지 않는 것은 문제”라며 “가상통화 거래업의 법적 근거와 상관없이 일정 자산을 취급하는 업종에 대해서는 정보통신기반시설에 준할 수 있는 법적 조치를 의무화하는 방안을 검토해야 할 것”이라고 밝혔다.
일각에서는 가상통화 거래사이트 해킹이 빈번한 만큼, 이번 기회에 철저한 조사를 통해 고객들에게 피해를 입힌 곳들을 대상으로 일벌백계해야 한다는 목소리도 있다.