“암호화폐 거래소, 등록제·허가제별로 보안 이원화해야”

“거래 규모에 따른 규제가 합리적... 등록제·허가제로 구분
등록 거래소는 2·3금융권, 허가는 1금융권에 계좌 트도록”

[보안뉴스 오다인 기자] 사탕 주위에는 개미가 뒤끓기 마련이다. 암호화폐라는 사탕 주위에도 개미들이 몰린다. 달콤함에 취하면 취약해지고, 이를 악용하는 이들도 등장한다. 암호화폐 거래 시 소비자 보호를 위한 인증·보안 규제의 필요성이 반복해서 언급되는 이유다.

[이미지=iclickart]

암호화폐 거래소는 현재 통신판매업자로 분류돼 있어 금융관련법의 적용을 받지 않는다. 거래소의 수수료 수입이 수십억 원에 달하는 상황에서도 금융거래로 간주되지 않아 소비자들은 금융사기와 피해에 무방비로 노출돼 있다. 금융거래에서 특히 중요한 보안 역시 매우 허술하다는 지적이 잇따른다.

홍영란 보안그룹모비딕 본부장은 암호화폐 거래소를 대상으로 취약점 진단을 수차례 수행했다. 그는 “암호화폐 거래소들이 인프라 보안과 웹 보안이라는 두 가지 측면에서 모두 부족하다”고 지적했다. 간단히 말해 암호화폐라는 ‘핫’한 아이템과 블록체인에 대한 맹신이 결합돼 애초부터 보안에 대한 고려가 미흡한 채 거래소가 설립됐다는 것.

홍 본부장은 암호화폐 거래소의 인프라 보안이 “금융의 15년 전 수준과 비슷하다”고 설명했다. “인프라 보안 수준이 떨어진다는 건 그만큼의 취약점도 안고 간다는 의미죠. 보안은 어느 한 군데가 뚫리면 다 뚫릴 수밖에 없습니다. 이에 개별 시스템과 장비의 보안 수준을 비슷하게 맞춰주는 게 중요하죠.”

인터넷 데이터센터(이하 IDC)의 보안 수준을 무조건 신뢰하는 것도 문제다. “IDC만 믿고 별도의 보안 조치를 취하지 않는 건 실수입니다. IDC는 비용에 따라 공간을 대여해주거나 서비스를 제공하는 곳이지 보안을 도맡아 해주는 곳은 아니에요.” 그는 거래소 가운데 보안장비 자체가 없는 곳도 있는 데다 네트워크 보안의 경우 특히 취약한 것으로 나타났다고 경고했다.

인프라 보안이 금융의 15년 전 수준이라면 웹 보안도 매우 심각한 상황이다. 보안그룹모비딕은 암호화폐 거래소의 웹 보안성 테스트를 위해 48개의 취약점 진단 항목을 개발, 모의해킹을 수행했다. 그 결과, 타인의 코인을 훔쳐내는 공격과 거래내역을 취소시키는 공격이 모두 가능했다.

홍 본부장은 “거래소 설립 시 시큐어코딩이나 기본적인 보안 설정에 대한 개념만 갖춰도 굉장히 안전해질 수 있다”고 말했다. “블록체인은 좋은 인증 방식이지만 이를 맹신하는 건 다른 문제죠. 현재 암호화폐 거래소들은 블록체인 방식의 인증을 맹신한 결과, 아주 기본적인 보안 조치도 하고 있지 않는 것으로 보입니다.”

대안: “거래 규모에 따라 보안 규제 이원화... 컨트롤타워 구축도 시급”
암호화폐 거래소와 관련한 보안 대책으로 홍영란 본부장은 지금의 등록제에서 향후에 허가제로 나아가되, 거래 규모를 고려해 이원화해야 한다고 제안했다. 일일 거래량, 월간 거래량, 3개월간 거래량 등을 기준으로 특정 규모를 초과하면 ISMS 인증 등을 받도록 규제하고, 그 이하의 경우는 소비자 책임으로 가는 것이 합리적이라는 설명이다.

이 부분과 관련해 ‘가용성(availability)’이 강조된다. 홍 본부장은 암호화폐 거래의 보안을 담보하려면 평균 거래량이 아니라 상한선을 기준으로 가용성을 확보해야 한다고 짚었다. “가용성에 대해서는 ‘평균의 오류’를 범하지 않도록 주의해야 합니다. 강을 건널 때 수심을 평균으로 가늠하면 사람 목숨이 위험해지는 것과 같은 이치입니다. 가용성이 기준이 되면 시큐어 코딩도 수반될 수밖에 없죠.”

가용성이 소비자 측면의 이슈라면 은행 계좌 개설은 거래소 측면에서의 이슈다. 현재 은행들은 암호화폐 거래소의 계좌 개설을 보안성이 취약하다는 이유로 거부하고 있다. 금융권 수준의 보안을 요구할 뿐, 어느 수준 이상인지에 대한 기준도 명확히 제시하지 않는다. 홍 본부장은 “신생 거래소의 경우 인력이 적어 금융사 수준의 보안을 맞추는 것은 어렵다”면서 “한국인터넷진흥원(KISA)에서 점검과 관련한 역할을 잘해주는 것이 중요하다”고 덧붙였다.

홍영란 본부장은 현실적으로 은행권에서 요구하는 보안수준을 거래소가 다 맞출 수는 없다면서 그 대안으로 ‘보안의 이원화’를 제시했다. 일정 규모 이하의 거래소는 등록제로 규제를 풀되 제2·3금융권에서 계좌를 개설할 수 있도록 하고, 일정 규모 이상의 거래소는 허가제로 규제하되 제1금융권에서 계좌를 틀 수 있도록 하자는 것.

그래서 규모가 작은 거래소도 영업을 할 수 있도록 하고, 규모가 큰 거래소의 책임성은 높일 수 있다고 그는 말했다. 매출이 10억인 거래소와 조 단위인 거래소의 보안을 같은 수준에서 맞추라고 요구하는 건 비합리적이라는 분석에서다.

그 대신 제2·3금융권에 대한 관리감독을 강화하는 것이 중요하다. 이 부분에서 암호화폐 거래소 규제를 총괄하는 ‘컨트롤타워’를 어떻게 구성·구축할 것인가도 이슈로 남는다. 거래소 입장과 소비자 입장, 그리고 당국의 입장까지 전체를 조망하고 포괄할 수 있는 컨트롤타워의 구축이 시급하다고 그는 덧붙였다.
[오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)