gettyimages

 

그동안 국내 대다수 암호화폐 거래소가 금융권 수준의 보안 시스템을 구축했다고 주장했지만, 지난 11일 코인레일에서 해킹으로 450억원 규모의  암호화폐가 유출돼 이런 주장이 무색해졌다. 정부 당국에 따르면 현재 국내 암호화폐 거래소 가운데 '정보보호관리체계(ISMS)' 인증을 받은 곳은 한 곳도 없는 것으로 확인됐다.

ISMS는 기업 내 발생할 수 있는 보안 사고를 방지하기 위해 정보보호 정책 수립 및 물리적·기술적 보안 시스템을 구축했음을 인증하는 제도다. 현재 한국인터넷진흥원(KISA)이 ISMS 인증을 담당한다.

정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법) 제47조 정보보호 관리체계의 인증에 관한 조항을 살펴보면, 올해 1월 1일부터 연간 매출액 또는 세입 등이 1500억 원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상 또는 3개월간의 일일 평균 이용자 수 100만 명 이상일 경우 ISMS 의무대상에 포함된다.

KISA에 따르면 이 기준에 해당하는 국내 암호화폐 거래소는 업비트, 빗썸, 코인원, 코빗 등 4개 업체다. 하지만 이들 4곳은 아직 인증을 받지 못했다. 의무대상이 아닌 나머지 거래소들은 단 1곳을 제외하고는 아예 인증을 위한 준비조차 하고 있지 않은 것으로 드러났다.

국내 보안 업계에서는 ISMS 인증조차 받지 않은 거래소들이 금융권 수준의 보안 시스템 구축을 주장하는 것은 문제라는 지적이 나온다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 "ISMS는 완벽한 보안 시스템을 구축했음을 인증해 주는 것이 아니라 기업이 갖춰야 하는 최소한의 보안 시스템을 구축했음을 확인해주는 것"이라며 "그마저도 갖추지 못한 업체들이 보안을 말하는 것은 어폐가 있다"고 말했다. 이어서 그는 "거래소들이 ISMS 인증을 받으면 모든 보안 시스템을 구축했다고 생각하는 것 같은데 절대 그렇지 않다"면서도 "물론 ISMS 인증을 준비하거나 획득했다는 건 상대적으로 최소한의 보안을 위한 시스템을 구축하고 있다는 것을 의미하며, 기업이 보안에 관심을 두고 있다는 점에서 긍정적인 신호는 맞다"고 덧붙였다.

최동원 과학기술정보통신부 사이버침해대응과장은 "현재 국내 암호화폐 거래소 중 빗썸, 업비트, 코인원, 코빗 등 4곳이 ISMS 의무 대상"이라며 "이 중 빗썸은 ISMS 인증 심사를 위한 컨설팅을 진행하는 중이며, 나머지 거래소들은 내부적으로 검토하고 있는 것으로 확인했다"고 말했다. 이어 "국내 거래소 중 의무 대상인 4곳 외에도 추가로 1곳이 ISMS 인증을 준비 중"이라고 덧붙였다.

올해 ISMS 의무 대상인 빗썸, 업비트, 코인원, 코빗 등은 올 12월 31일까지 ISMS 인증을 획득해야만 한다. 만약 기한 내 ISMS 인증을 획득하지 못하면 과태료 3000만원이 부과된다. KISA에 따르면 ISMS 인증을 위한 통제항목은 104개이며, 세부항목을 포함하면 253개에 이른다. 이 모든 항목을 통과해야만 ISMS 인증 획득이 가능하며, 인증 신청서 접수 이후 인증 완료까지 최소 4개월 이상이 걸린다. 의무대상 거래소 4곳도 빨라야 10월에나 인증을 받을 수 있을 것으로 보인다. 업계에서 유일하게 이미 ISMS 인증 심사 신청서를 제출한 거래소는 의무대상 거래소 4곳이 아닌 다른 거래소인 것으로 알려졌다.

보안 업계에서는 지난 11일 발생한 코일레일 해킹 사고는 '51% 공격'과 같은 블록체인의 취약점을 노린 형태가 아니라 거래소의 보안 시스템 허점을 노린 일반적인 해킹에 의한 것으로 보고 있다.

51% 공격은 과반수가 검증한 블록은 신뢰한다는 블록체인의 허점을 이용한 방법이다. 예컨대 해커가 과반수인 51% 이상의 해시파워를 장악해 블록체인에 조작된 장부를 정상적인 장부로 인식하게 만드는 식이다. 지난달 18일 비트코인골드(bitcoin gold)와 버지(verge)가 51% 공격을 받았으며, 해당 재단은 이 문제를 해결하기 위해 소프트포크(softfork)를 단행했다.

코인레일 사고의 경우 해커가 거래소 관계자 이메일에 악성코드 등을 심어 관리자 권한을 획득, 거래소 지갑 접속을 위한 프라이빗키(private key)를 유출하는 형태로 진행됐을 것으로 보안 업계에서는 보고 있다. 프라이빗키는 특정 지갑에 접속하기 위한 비밀번호 역할을 한다. 거래소들은 온라인에 연결된 핫월렛(hot wallet)과 망분리가 된 콜드월렛(cold wallet)으로 고객들의 암호화폐를 나눠서 보관한다. 한국블록체인협회는 핫월렛과 콜드월렛 비율을 3:7로 권고하고 있다.

익명을 요청한 국내 보안업계 관계자는 "국내 암호화폐 거래소 중 ISMS 인증을 받은 곳이 아직 한 곳도 없을 정도로 거래소의 보안 수준에 대해 최소한의 검증도 아직 이뤄지지 않았다"라며 "이번 코인레일 해킹 사고뿐만 아니라 다양한 방법으로 거래소를 노리는 사이버공격이 발생하고 있는 만큼 ISMS뿐만 아니라 강화된 보안 시스템 구축과 보안 담당자들의 인식 제고에 적극적으로 나서야 한다"고 당부했다.

ISMS 의무대상 거래소 중 하나인 빗썸 관계자는 "이르면 올 3분기 중, 늦어도 올해 중으로 ISMS 인증을 획득할 것으로 예상한다"라며 "안전한 보안 시스템 구축을 위해 100억 원 이상을 보안 예산으로 책정하는 등 고객들의 안전한 거래를 위해서 꾸준히 노력할 것"이라고 말했다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지