비트코인 같은 암호화폐 열풍이 전세계를 강타하고 있다. 최근 들어선 암호화폐가 대박수단이란 인식이 확산되면서 투기로까지 번지고 있다.
그 사이 돈을 쫓는 공격자들은 거래소와 개인 PC를 해킹해 암호화폐 훔쳐가기에 열을 올리고 있다.
특히 국내 암호화폐 거래소는 그 동안 전 세계 거래량 1, 2위를 다툴 정도로 투자자들이 폭증했다.
해킹으로 암호화폐 분실사고가 발생하게 되면 거래소가 책임을 떠안게 된다. 이런 이유로 해킹으로 인한 피해는 투자 과열보다 더 심각한 사회문제로 이어질 가능성이 크다.
과열된 시장에서 부작용을 최소화하기 위해 정부는 13일 홍남기 국무조정실장 주재로 가상통화 관련 긴급 차관회의를 열고 구체적인 규제 방안을 마련했다.
핵심은 가상통화(암호화폐) 거래 자체를 전면 금지하지는 않지만 유사수신행위로 보고, 자금세탁방지, 실명확인, 본인계좌를 쓰는 경우에만 조건부로 허용하겠다는 입장이다.
■ 암호화폐 거래소, 증권사 수준 안전성 보장 못해
문제는 이러한 거래소가 증권사 수준의 거래 안정성, 해킹에 대한 대비책을 갖추고 있느냐는 것이다.
거래소가 해킹 당해 암호화폐가 대량으로 유출되는 사건이 발생할 경우 투자 과열 이상 심각한 사회문제가 될 가능성이 크다.
실제로 방송통신위원회와 한국인터넷진흥원(KISA)에 따르면 암호화폐 거래소 빗썸은 자문계약 관계에 있는 A씨에 대한 해킹에 더해 웹사이트 자체에 대한 해킹이 이뤄져 이용자 정보 3만1천506건, 웹사이트 계정정보 4천981건이 유출된 것으로 파악됐다.
조사결과에 따르면 빗썸은 내부 서버에서 사용자들의 개인정보를 추출해서 만든 '2017년 회원관리 정책.xlsx'을 A씨에게 보냈고, 악성코드에 감염된 A씨 PC에서 해당 파일이 유출돼 보이스피싱 등 범죄로 이어졌다.
더 큰 문제는 빗썸 웹사이트 자체가 심각한 해킹에 노출됐다는 점이다. 공격자는 3천434개 IP주소에서 200만번 이상 사전대입공격을 시도했다. 공격자가 사전에 확보한 ID와 비밀번호를 해당 사이트에 하나씩 대입해 보면서 로그인이 되는지 여부를 확인한 것이다.
방통위는 지난 4월26일부터 7월5일까지 빗썸에 92건 해킹신고 등이 접수됐는데도 불구하고 사전대입공격을 찾아내지 못했다. 이를 통해 266개 계정에 대한 로그인이 이뤄져 가상통화가 출금됐다.
증권사로 따지면 증권 계좌 비밀번호가 털려 주식이 송두리째 날아간 것이나 마찬가지인 셈이다.
더구나 개인정보를 액셀 파일로 저장해 공유하는 과정에서 암호화하지 않고 저장했다는 점 등도 지적된다.
빗썸을 운영하는 비티씨코리아닷컴에 대해 방통위는 과징금 4천350만원, 과태료 1천500만원, 책임자 징계권고, 위반행위 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 내렸다.
암호화폐 관계자는 "나의 디지털 자산인 암호화폐를 개인지갑이 아니라 거래소에서 운영하는 전자지갑에 넣어두고 있는 것 자체가 리스크"라며 "그나마 안정적으로 사고가 없는 곳을 이용해야한다"고 당부했다.
글로벌 암호화폐 거래소 중 하나인 비트피넥스의 경우 한번 해킹된 뒤 거래량이 확 줄었으나 보안을 강화해 평판이 좋아지면서 다시 사용자들이 늘기 시작했다.
장기적으로 거래소가 꾸준히 성장하기 위해서는 여러 신규 코인을 상장시키는데 집중하기보다는 해킹에 대해 최대한 방어수단을 마련하고, 사용자를 얼마나, 어떻게 보호할 수 있는지에 대해 공을 들여야할 것으로 전망된다.
■ 정부, 주요 거래소에 ISMS 인증 적용…보안성 검증 나서
정부가 마련한 가상통화 관련 대책에서는 해킹이나 개인정보유출사고를 막기 위해 거래소에 대해 주기적으로 점검이 이뤄질 예정이다.
구체적으로 개인정보 유출 등 지속적인 법규위반 사업자에 대해서는 서비스 임시중지조치제도를 도입해 거래소를 일시적으로 운영하지 못하게 하고 개인정보 유출에 따른 과징금 부과기준을 높일 계획이다.
또한 정보통신망법 제47조에 따라 매출액 100억원 이상, 하루 평균 방문자수 100만명 이상인 거래소는 내년부터 정보보호관리체계(ISMS) 인증 의무대상이 될 것으로 예상된다.
ISMS 인증을 받으려면 국제 표준에 따라 보안을 유지하기 위한 기술적, 관리적 조치를 취해야한다. 해당 인증은 최초심사 후에도 매년 사후심사를 받아야한다.
이밖에도 거래소 개인정보유출사건 등에 대한 조사를 통해 가상통화 거래구조를 확인해 위법행위를 발견하면 엄단한다는 방침이다.
또한 빗썸, 코인원, 코빗 등 주요 가상통화 거래소에 대해 약관을 심사해 약관 상 불공정여부를 조사한다.
■ 돈 되는 암호화폐…거래소와 투자자 모두 해킹 대비해야
현재 암호화폐로 결제할 수 있는 비자카드가 나오는가 하면 비트코인 결제를 받는 가맹점들도 종종 있지만 현금을 대신해서 쓰기에는 어떤 식으로든 가격 급등락에 따른 변동성을 해결하지 않고서는 화폐로서 기능을 제대로 하기는 쉽지 않을 것으로 전망된다.
문제는 암호화폐가 돈이 된다는 사실이다.
관련기사
- 암호화폐 거래소, '서비스 다운' 막을 수 있나2017.12.14
- 정부, 가상통화 '조건부'로 허용한다2017.12.14
- "암호화폐는 세계 공용어…붕괴되지 않을 것"2017.12.14
- "가상통화, 재화냐 화폐냐 너무 고민할 필요없어"2017.12.14
지난 8일 KISA와 국내 보안기업들이 참여하고 있는 사이버위협인텔리전스네트워크는 내년 7대 사이버 공격 전망 발표에서 암호화폐를 보유한 개인의 PC나 모바일 기기에 더해 암호화폐 거래소를 노린 공격이 지금보다 훨씬 늘어나게 될 것으로 내다봤다.
코스닥 거래량을 넘어설 정도로 자산이 몰리고 있는 암호화폐 시장에서 거래소는 물론 투자자들이 해킹에 대해 보다 철저한 대비가 필요한 이유다.