김승주 고려대 교수

 

지난달 불과 열흘 간격으로 코인레일과 빗썸이 잇따라 해킹을 당했다. 모두 800억원 어치의 암호화폐가 털렸다. 특히 국내 1위 거래소 빗썸이 불과 나흘 전 보안강화를 위한 긴급점검을 실시하고도 해킹을 당했다는 사실은 암호화폐 투자자들에게 충격적인 일이 아닐 수 없다. 보안 투자에 연간 100억원을 쏟아 붓는다는 빗썸마저 이처럼 허망하게 뚫렸다는 걸 어떻게 받아들여야 할까.

“보안은 돈으로 해결할 수 있는 게 아니다.”

한국 사이버보안 분야 최고 전문가 중 한 명으로 (사)화이트해커연합 HARU를 설립하고, 블록체인협회 정보보호위원회 부위원장을 맡고 있는 김승주 고려대 교수(사이버국방학과/정보보호대학원)는 이렇게 잘라 말했다. 그는 “보안은 장비로 하는 게 아니다. 비싼 제품 깔아서 쓴다고 되는 게 아니다. 잘 운용하는 게 훨씬 더 중요하다. 조직 차원에서 보안제품 잘 운용해서 전체적인 수준을 높이는 것이 중요하다”고 말했다.

돈이 문제가 아니라 결국 사람이 잘 해야한다는 얘기다. 그런데 그게 왜 그리 어려운 걸까. 김 교수는 우리나라의 금융보안 관련 정책에서 기인하는 근본적인 문제를 지적했다.

“우리나라 어느 은행이든 인터넷뱅킹 서비스를 보면 다 똑같이 돌아간다. 은행들이 스스로 보안을 강화하는 게 아니라 정부가 기준을 만들어주기 때문이다. 전자금융감독규정을 보면 뭘 설치하고 뭘 해야하는지 다 정해져있다. 은행들은 그것만 하는 거다. 그러니까 모든 은행이 평준화돼 있다. 사고가 터져도 여태 벌금을 제대로 내본 적이 없다. 정부가 하라는 건 다 했으니까 맨날 ‘불가항력’이라고 한다.”

보안 인력들이 정부가 정해준 대로만 일하는 데 익숙하다 보니 암호화폐 거래소처럼 이전에 없던 새로운 것이 등장하면 어떻게 해야 할지 모른다는 얘기다.

모르면 이제라도 배우면 되지 않을까. ISO 27001이라는 보안 관련 국제표준이 있다. 어떤 기준을 제시하는 게 아니라 조직의 문제점을 분석하고, 그에 따라 적절한 보안장비를 선택하고, 운용하고, 담당자들을 교육하는 절차를 담고 있다.

“스스로 보안을 잘 하겠다는 기업들을 위해 방법론으로 나온 게 ISO 27001이다. 자율규제의 표준이 ISO 27001이다. 이걸 변형해서 한국형으로 만든 게 ISMS다. 블록체인협회 정보보호위원회에 들어가서 거래소들에 제일 먼저 “ISMS 또는 ISO 27001을 참조해서 하세요”라고 했다. 그런데 다들 못하겠다고 하더라. 유일하게 고팍스만 지금 ISMS 인증 심사를 받기 직전까지 갔다.(그밖에 몇몇 업체들도 현재 준비중이다) 다른 거래소들은 계속 우리한테 기준 혹은 체크리스트를 달라고 한다. 자율규제를 하겠다면서 기준을 달라고 하는 건 모순이다.”

국내 거래소들이 네거티브 규제를 주장하는 것에 대해 김 교수는 과연 거래소들이 네거티브 규제를 감당할 수 있을지 회의적이다. 네거티브 규제란 법으로 금지한 행위가 아니면 모두 허용하는 방식을 뜻한다.

외국, 특히 미국의 경우 사고가 발생하면 막대한 금액의 소송이 들어온다. 정부가 일일이 지시하지 않아도 소송에서 업체로서 할 수 있는 걸 다 했다는 걸 보여줘야 한다. 그러지 못하면 소송으로 기업이 망한다. 김 교수는 페이팔의 사례를 들었다. 페이팔도 초기에는 숱하게 해킹을 당했다. 그때마다 돈으로 물어줬다. 사업규모가 커질수록 돈으로 막는 게 불가능해진다. 스스로 보안을 강화하고 보험도 들었다.

“네거티브 규제가 쉽지 않다. 기술과 손해배상 능력이 모두 필요하다. 네거티브 규제가 자리잡으려면 집단소송, 보험 등 생태계가 함께 갖춰줘야 한다. 우린 그런 게 없다.”

김 교수의 설명에 따르면 블록체인협회는 계속해서 기준을 제시해달라는 거래소들의 요구에 “정말 최소한의 기준”을 제시했다.

“거래소라면 최소한 지켜야 할 몇 가지를 제시한 거다. 그걸 지켰는지도 구두로 확인하고, 업체가 제출한 서류에만 의존해서 확인한다. 협회에 따르면 이 기준은 협회 가입을 위한 최소 자격으로만 삼는 방안을 고려하고 있다고 한다.”

정부는 최근 핀테크 산업 육성을 위해 네거티브 규제로 방향을 전환하는 중이다. 예전처럼 기준을 주지 않고, 대신 문제가 생겼을 때 징벌적 과징금을 부과하는 쪽으로 가고 있다.

“경험이 없으니까 ISO 270001을 해석할 수 있는 능력이 없을 수 있다. 독학이 안 되면 과외라도 받으면 되지 않나. 컨설팅 받고 외국의 공신력 있는 인증기관에서 인증 받으면 된다. 현대카드 같은 회사도 ISO 27001 인증 받았다. ISMS는 로컬 기준이다. 글로벌 마켓이라는 암호화폐는 더욱 ISO 27001이 맞는 것 아닌가? 국내 보험상품이 없으면 외국 보험에는 왜 가입 안하나? 네거티브 규제 하자면서 정부에 거래소를 제도적으로 규정해달라는 건 말이 안 된다.”

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지