[김현주의 일상 톡톡] '무법천지' 가상화폐시장…덩치는 금융사, 보안은 구멍가게

기사입력 2017-12-28 05:00:00
기사수정 2017-12-27 10:41:47
국내 가상화폐 거래소의 취약한 보안이 도마 위에 올랐습니다. 최근 '유빗'에 이어 국내에서 가상화폐 해킹이 발생한 것은 4번째입니다. 우리나라에도 가상화폐 열풍이 불면서 하루에 조(兆) 단위 거래가 이뤄지고 있지만, 거래소 보안은 매우 허술한 실정입니다.

최근 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주요 가상화폐 거래소 10곳의 보안을 점검한 결과 모두 낙제점을 받았음에도 조치는 '개선 권고' 수준에 그쳤습니다. 솜망방이 조치였다는 지적이 나오고 있습니다.

가상화폐 거래소가 해킹에 취약한 것은 겉으로는 개인간 거래지만, 실제로는 거래소 컴퓨터 내 가상화폐를 보관해 놓고 판매하는 구조이기 때문입니다. 일단 빼내기만 하면 쉽게 현금으로 바꿀 수 있지만 보안은 취약합니다.

현행법상 가상화폐 거래소는 '통신판매사업자'로 분류돼 신고만 하면 누구나 거래소를 열 수 있습니다. 그렇다보니 대부분 서버 등 장비가 열악하고, 보안 수준도 턱없이 낮다는 게 전문가들의 한결같은 지적입니다.

해킹 피해로 결국 파산 절차에 들어간 국내 가상화폐거래소(암호화폐거래소) '유빗'이 사고 발생 18일 전 보험에 가입한 것으로 밝혀졌다.

투자자를 보호할 법적 장치가 없어 피해자 구제를 위해 거래소 보험 가입을 의무화해야 한다는 목소리가 힘을 얻고 있다.

28일 업계에 따르면 유빗은 지난 1일 한 손해보험회사의 사이버종합보험에 30억원 규모로 가입했다. 사이버종합보험은 △데이터 손해 또는 도난 △정보유지 위반 배상책임 △개인정보 침해 피해 △사이버 협박 △네트워크 보안 배상책임 등 사이버 관련 8가지 위험을 보장하는 상품이다.

이가운데 유빗은 정보유지 위반 배상책임, 개인정보 침해 피해, 네트워크 보안 배상책임 등 5가지 위험을 보장받기로 했다. 보험료는 2억5000만원 수준이고, 보험 가입기간은 1년이다.

이 손보사는 해킹 피해로 결론이 날 경우 유빗에 보험금을 30억원 지급해야 하지만, 60% 이상을 재보험사에 출재해 실제 부담할 금액은 10억원 안팎에 그칠 것으로 보인다.

보험금이 피해금액보다 적어 투자자들이 충분한 보상을 받는 건 어려울 가능성이 높다. 현재 알려진 피해금액은 172억원으로, 사이버종합보험으로 지급되는 최대 보험금 30억원의 5배 이상이다.

게다가 실제 보험금 지급까지 적지 않은 시간이 걸린 것으로 전망된다. 보험에 가입한 지 얼마 되지 않은 시점에 해킹 피해가 발생, '보험 사기' 의혹이 불거진 상황에서 손보사가 경찰 수사 결과가 나오기 전에 보험금을 줄 이유가 없기 때문이다.

보험업계는 가상화폐거래소의 투자자 보호장치가 미흡한 만큼 보험을 활용할 필요가 있다고 지적하고 있다. 업계의 한 전문가는 "해킹 피해가 발생하면 투자자 손실 규모가 커 보상 한도를 늘리고, 거래소의 보험가입을 의무화해야 한다"고 강조했다.

◆가상화폐 해킹 피해 발생시 투자자 손실규모 커…거래소 보험가입 의무화해야

유빗이 해킹피해로 파산절차에 들어간 가운데, 가상화폐 거래를 매개하는 국내 거래소들이 정보보안 규제의 사각지대에 놓여 있다는 지적이 지속적으로 제기되고 있다.

거액의 돈이 오가기 때문에 이용자 보호조치가 절실하지만, 현재 상황에서는 법적으로 '일반 사이트'와 똑같이 취급돼 정부가 강력한 규제를 하는 게 어려운 실정이다.

이 때문에 정부는 일단 현행법으로 가능한 범위에서 사후규제를 최대한 강화하는 한편, 내년부터 보안인증 의무대상이 될 것으로 보이는 일부 거래소에 대해 인증의무 조기 이행을 요청하고, 거래소별 정보보호최고책임자(CISO)와 과기정통부 사이의 핫라인을 구축하도록 할 계획이다.

다만 이는 법규가 마련되지 않은 상태에서 하는 것이어서 사실상 임시조치에 불과하다. 현재 국내에서 영업중인 가상화폐거래소는 일반적인 통신판매업자 사이트와 같은 기준으로 정보보안에 관한 규제를 받고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제47조 2항은 정보보호관리체계(ISMS) 인증을 받아야 하는 의무대상자를 정하고 있으나, 국내 가상화폐 거래소들은 여기 포함되지 않는다.

정보통신서비스 매출액(전년도 기준)이 100억원 이상이거나 하루 평균 이용자수(전년도말 기준 직전 3개월간) 100만명 이상이면 ISMS 인증을 받아야 하지만, 국내 가상화폐 거래소들은 거래가 활발히 이뤄진지 몇 달 되지 않아 아직은 이에 해당하지 않는다.

이에 따라 정부는 현행 법령상 가능한 범위 내에서 최대한 보안 조치를 앞당기고 강화하도록 유도키로 했다. 민간기업과 공동으로 실시하는 '사이버 보안 모의훈련'에 거래소의 참여도 적극 유도할 방침이다.

◆가상화폐거래소 제도권에 놓고 실효성 있는 규제 마련해야

현재 사실상의 보안규제 공백 상황에 대해 업계, 학계, 정부 등에서는 현행 법령에 의거한 정부 조치는 임시방편에 불과하며, 결국은 가상화폐거래소를 제도권 안으로 들여 놓고 규제를 마련해 해결하는 수밖에 없다는 의견이 우세하다.

가상화폐거래소는 설령 규모가 작더라도 다른 일반 사이트와 달리 특별히 엄격하게 관리해야 할 필요성이 있어 현행 법령에 따른 정보보호 규제로는 한계가 있다는 것이다.

업계 관계자는 "가상화폐 거래소에서 해킹은 단순 개인정보 유출에 그치는 것이 아니다. 키가 유출돼 돈 자체를 잃어버리는 일로 이어진다"며 "정부가 가상화폐에 대해 화폐냐, 상품이냐, 증권이냐, 아니면 또 다른 것이냐 하는 것에 대해 정의를 빨리 내리고 제도권 안으로 들여와야 한다"고 역설했다.

김현주 기자 hjk@segye.com

<세계닷컴>

Copyrights ⓒ 세계일보 무단 전재 및 재배포 금지