우후죽순 늘어난 중소형 가상화폐(암호화폐) 거래소들이 해킹에는 무방비 상태란 우려가 되풀이 제기됐다.
지난 8일 김석환 한국인터넷진흥원(KISA) 원장은 국내 암호화폐 거래소들의 보안 상황과 관련해 “점검을 올 필요가 없다고 하거나 연락이 닿지 않는 곳도 있었다”고 언급했다. 거래소들이 KISA의 보안 점검마저 사실상 회피하고 있다는 지적이 나온다.
KISA는 85개 문항으로 구성된 보안 체크리스트를 만들어 암호화폐 거래소들을 점검하고 있다. 지난해 38개 거래소를 점검했는데 불과 7곳이 통과했다. 나머지 31개 거래소에는 미흡한 점을 통보했지만 개선 이행 여부는 제대로 확인하지 못했다.
KISA가 점검에 나섰던 거래소 중에는 백신 소프트웨어나 방화벽도 사용하지 않거나 운영인력이 2~3명선인 곳도 있던 것으로 알려졌다. 점검 결과 개선 필요사항을 지적 받았지만, 이를 제대로 이행하지 못해 KISA의 연락을 회피한 것으로 의심되는 대목이다.
김 원장은 “거래소는 주요 정보통신기반시설이 아니므로 조사 권한이 없다. 점검시 거래소 동의 없이는 조사를 못하는 현실적 어려움이 있다”고 설명했다. KISA는 올해도 암호화폐 거래소들을 점검할 계획이지만 거래소들 협조 없이는 실효성 있는 조사가 불가능한 실정.
국내 암호화폐 거래소들의 보안 사고는 끊이지 않고 있다. 2017~2018년 야피존 빗썸 코인이즈 유빗 코인레일 올스타빗 등이 해킹 피해를 입었다. 해킹으로 문 닫은 야피존과 유빗을 계승한 코인빈은 내부 보안절차까지 무시하고 암호화폐를 인출하다가 파산을 선언하기도 했다.
상황이 이렇다 보니 해킹 위험도 높아지고 있다. UN은 안전보장이사회 보고서를 통해 북한이 외화 벌이를 위해 한국을 비롯한 아시아 국가의 암호화폐 거래소 해킹을 시도한다고 짚었다. 지난해 1월 580억엔 규모 암호화폐를 탈취당한 일본 거래소 코인체크 사건도 북한의 소행이라 봤다. 보고서는 북한의 해킹과 블록체인 기술에 각국이 대비해야 한다고 조언했다.
국내외 보안 업계도 북한 해킹조직 ‘히든코브라’ ‘라자루스’ 등이 금융감독원을 사칭한 이메일을 보내는가 하면 여러 암호화폐를 한 눈에 볼 수 있는 프로그램을 배포해 악성코드를 유포시킨 것으로 파악하고 있다. 국내 거래소 야피존 유빗 빗썸 코인이즈 해킹 등이 해당된다고 설명했다.
전문가들은 추적이 어렵고 국가망 보안시스템이 비교적 취약한 암호화폐의 속성상 계속 해킹 표적이 될 것으로 우려했다. 거래소들의 보안 대응이 필요한 이유다.
패트릭 김 웁살라 시큐리티 대표는 “해킹은 암호화폐 거래소들이 나서야 하는 문제다. 하지만 관련 규제가 없으니 중소형 거래소들은 보안에 관심이 없다”고 꼬집었다. 거래소들이 최소한의 보안 수준을 갖추도록 의무화해야 한다는 주장. 정현철 노르마 대표도 “보안 사고는 언제든 발생할 수 있다. 거래소들의 정보보호관리체계(ISMS) 인증 획득이 필수적”이라고 당부했다.
오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com
관련뉴스