업계 1위 빗썸 '5.5.7' 규정 준수에도 역부족…"인력·예산 더 투입해야"
국내 최대 암호화폐 거래소 빗썸이 20일 350억원 가량의 해킹 피해를 본 사실이 드러나면서 업계 전반에 불신이 커지고 있습니다.
최근 1년여 사이 거래소들의 해킹 피해액만 총 1천억원에 달하고, 주요 거래소가 검·경 수사를 받음에 따라 암호화폐 거래와 관련한 정부 규제 필요성이 제기되고 있습니다.
이번 해킹 사고는 중소 암호화폐 코인레일에서 해킹 공격으로 400억원 상당의 암호화폐가 유출된 지 채 열흘도 되지 않은 시점에 발생한 것입니다.
앞서 지난해 4월에는 야피존이 55억원 상당의 해킹 피해를 봤습니다. 12월에는 야피존이 사명을 바꾼 유빗이 재차 해킹으로 172억원 상당의 암호화폐가 도난당하기도 했습니다.
최근 1년 2개월 사이 거래소에서 일어난 해킹 사고로 약 977억원에 달하는 피해액이 발생한 것입니다.
그러나 막대한 피해에 비해 보상은 미진한 상태입니다. 일부 피해 보상을 받은 이들도 있으나 야피존 해킹은 투자자들이 피해액을 떠안는 것으로 귀결됐습니다.
유빗 해킹과 관련해 투자자들이 거래소를 상대로 소송을 제기했고, 보험금 지급 여부를 둘러싸고 거래소와 보험사간 법적 다툼도 벌어졌습니다.
코인레일은 해킹으로 도난당한 암호화폐 개발사로부터 피해액만큼 암호화폐를 받아 투자자들에게 나눠주는 방식으로 피해 구제에 나설 것으로 알려져 논란이 예상됩니다.
그간 해킹사건이 중소 거래소에 발생해 파급력이 크지 않았지만 빗썸은 업계 1위 거래소인 데다가 그간 보안분야에 투자를 많이 했다고 자부해왔기에 이번 해킹으로 인한 업계와 투자자의 충격이 한층 더 큰 상황입니다.
빗썸은 지난 2월 제1금융권에서 적용 중인 통합보안 솔루션 '안랩 세이프 트랜잭션'을 암호화폐 거래소 업계에서는 처음으로 도입했다고 보도자료를 배포한 바 있습니다. 지난달에는 금융업계 대표적인 정보보호 조항인 '5.5.7 규정'을 준수한다고도 했습니다.
이 규정은 전체 인력의 5%를 IT(정보기술) 전문인력으로, IT 인력의 5%를 정보보호전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 금융당국이 금융사에 권고한 사항입니다.
빗썸에 따르면 5월 IT 인력은 전체 임직원의 21%이며, IT 인력 중 정보보호를 담당하는 비율은 약 10%입니다. 또한 연간 지출예산에서 약 8%가 정보보호 관련 활동에 사용됩됩니다.
하지만 빗썸의 전체 인력은 300명. 거래소 이용자 수와 비교하면 적습니다.
한국블록체인협회 차원에서 인터넷과 연결되지 않은 '콜드월렛'에 암호화폐의 70%를 옮겨두도록 하는 등 자율규제로 보안성 강화에 초점을 맞추고 있지만 역부족입니다.
업계 자율이다 보니 거래소가 이를 준수할 의무가 없고 규제 수준을 높게 설정할 수도 없습니다. 협회가 자율규제 심사를 진행하는 거래소는 14곳으로 전체 회원 거래소 23곳의 절반이 조금 넘습니다.
빗썸을 비롯한 업비트, 코빗, 코인원 등 주요 거래소 4곳은 올해 공인 정보보호관리체계(ISMS) 인증 의무대상에 지정됐으나 아직 한곳도 인증을 받지 않았습니다.
빗썸은 지난달 사전신청서를 냈고, 업비트는 3분기 심사를 받기 위해 준비 중이라고 해명했습니다. 코인원은 하반기 신청해 연내 인증을 받는 것이 목표라고 밝혔습니다.
코인레일과 빗썸의 해킹 피해에 시차가 크지 않다는 점은 다른 거래소 추가 피해를 의심해보게 하는 대목입니다.
빗썸 측이 코인레일 해킹 이후 비정상적인 공격이 증가했다고 밝혔데 따라 코인레일 해킹 세력이 빗썸으로 방향을 틀었다고 추론해볼 수 있습니다.
단, 업비트나 코인원 등 다른 주요 거래소에는 이상 공격 징후는 없는 것으로 알려졌습니다.
암호화폐 주요 거래소 대부분이 사건·사고에 얽힌 점은 업계 자율 규제의 한계를 보여주고 있습니다.
업비트는 암호화폐를 실제로 보유하지 않고 '장부상 거래'를 했다는 혐의로 검찰의 압수수색을 받았습니다.
코인원은 고객에게 제공한 마진거래가 도박에 해당한다며 대표와 임원 등이 경찰에 불구속 입건됐습니다.
김승주 고려대 정보보호대학원 교수는 "국내 거래소를 들여다보면 기술적인 면에서나 (보안) 투입 인력 수에서도 은행·증권 시스템보다 열악하다"며 "현재는 거래소가 법적 틀 안에 있지 않으니 자발적으로 책임감을 느끼고 인력·장비·예산을 투자하는 수밖에 없다"고 지적했습니다.
이어 "정부의 역할론이 나오는데 암호화폐 거래소를 규제하려면 암호화폐 성격을 정의해야 하고 법적 테두리에 집어넣어야 한다"며 "아직 정부가 암호화폐를 법적 테두리에 넣을지조차 결정하지 않았기 때문에 쉽지 않은 상황"이라고 설명했습니다.
[MBN 온라인뉴스팀]
국내 최대 암호화폐 거래소 빗썸이 20일 350억원 가량의 해킹 피해를 본 사실이 드러나면서 업계 전반에 불신이 커지고 있습니다.
최근 1년여 사이 거래소들의 해킹 피해액만 총 1천억원에 달하고, 주요 거래소가 검·경 수사를 받음에 따라 암호화폐 거래와 관련한 정부 규제 필요성이 제기되고 있습니다.
이번 해킹 사고는 중소 암호화폐 코인레일에서 해킹 공격으로 400억원 상당의 암호화폐가 유출된 지 채 열흘도 되지 않은 시점에 발생한 것입니다.
앞서 지난해 4월에는 야피존이 55억원 상당의 해킹 피해를 봤습니다. 12월에는 야피존이 사명을 바꾼 유빗이 재차 해킹으로 172억원 상당의 암호화폐가 도난당하기도 했습니다.
최근 1년 2개월 사이 거래소에서 일어난 해킹 사고로 약 977억원에 달하는 피해액이 발생한 것입니다.
그러나 막대한 피해에 비해 보상은 미진한 상태입니다. 일부 피해 보상을 받은 이들도 있으나 야피존 해킹은 투자자들이 피해액을 떠안는 것으로 귀결됐습니다.
유빗 해킹과 관련해 투자자들이 거래소를 상대로 소송을 제기했고, 보험금 지급 여부를 둘러싸고 거래소와 보험사간 법적 다툼도 벌어졌습니다.
코인레일은 해킹으로 도난당한 암호화폐 개발사로부터 피해액만큼 암호화폐를 받아 투자자들에게 나눠주는 방식으로 피해 구제에 나설 것으로 알려져 논란이 예상됩니다.
그간 해킹사건이 중소 거래소에 발생해 파급력이 크지 않았지만 빗썸은 업계 1위 거래소인 데다가 그간 보안분야에 투자를 많이 했다고 자부해왔기에 이번 해킹으로 인한 업계와 투자자의 충격이 한층 더 큰 상황입니다.
빗썸은 지난 2월 제1금융권에서 적용 중인 통합보안 솔루션 '안랩 세이프 트랜잭션'을 암호화폐 거래소 업계에서는 처음으로 도입했다고 보도자료를 배포한 바 있습니다. 지난달에는 금융업계 대표적인 정보보호 조항인 '5.5.7 규정'을 준수한다고도 했습니다.
이 규정은 전체 인력의 5%를 IT(정보기술) 전문인력으로, IT 인력의 5%를 정보보호전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 금융당국이 금융사에 권고한 사항입니다.
빗썸에 따르면 5월 IT 인력은 전체 임직원의 21%이며, IT 인력 중 정보보호를 담당하는 비율은 약 10%입니다. 또한 연간 지출예산에서 약 8%가 정보보호 관련 활동에 사용됩됩니다.
하지만 빗썸의 전체 인력은 300명. 거래소 이용자 수와 비교하면 적습니다.
한국블록체인협회 차원에서 인터넷과 연결되지 않은 '콜드월렛'에 암호화폐의 70%를 옮겨두도록 하는 등 자율규제로 보안성 강화에 초점을 맞추고 있지만 역부족입니다.
업계 자율이다 보니 거래소가 이를 준수할 의무가 없고 규제 수준을 높게 설정할 수도 없습니다. 협회가 자율규제 심사를 진행하는 거래소는 14곳으로 전체 회원 거래소 23곳의 절반이 조금 넘습니다.
빗썸을 비롯한 업비트, 코빗, 코인원 등 주요 거래소 4곳은 올해 공인 정보보호관리체계(ISMS) 인증 의무대상에 지정됐으나 아직 한곳도 인증을 받지 않았습니다.
빗썸은 지난달 사전신청서를 냈고, 업비트는 3분기 심사를 받기 위해 준비 중이라고 해명했습니다. 코인원은 하반기 신청해 연내 인증을 받는 것이 목표라고 밝혔습니다.
코인레일과 빗썸의 해킹 피해에 시차가 크지 않다는 점은 다른 거래소 추가 피해를 의심해보게 하는 대목입니다.
빗썸 측이 코인레일 해킹 이후 비정상적인 공격이 증가했다고 밝혔데 따라 코인레일 해킹 세력이 빗썸으로 방향을 틀었다고 추론해볼 수 있습니다.
단, 업비트나 코인원 등 다른 주요 거래소에는 이상 공격 징후는 없는 것으로 알려졌습니다.
암호화폐 주요 거래소 대부분이 사건·사고에 얽힌 점은 업계 자율 규제의 한계를 보여주고 있습니다.
업비트는 암호화폐를 실제로 보유하지 않고 '장부상 거래'를 했다는 혐의로 검찰의 압수수색을 받았습니다.
코인원은 고객에게 제공한 마진거래가 도박에 해당한다며 대표와 임원 등이 경찰에 불구속 입건됐습니다.
김승주 고려대 정보보호대학원 교수는 "국내 거래소를 들여다보면 기술적인 면에서나 (보안) 투입 인력 수에서도 은행·증권 시스템보다 열악하다"며 "현재는 거래소가 법적 틀 안에 있지 않으니 자발적으로 책임감을 느끼고 인력·장비·예산을 투자하는 수밖에 없다"고 지적했습니다.
이어 "정부의 역할론이 나오는데 암호화폐 거래소를 규제하려면 암호화폐 성격을 정의해야 하고 법적 테두리에 집어넣어야 한다"며 "아직 정부가 암호화폐를 법적 테두리에 넣을지조차 결정하지 않았기 때문에 쉽지 않은 상황"이라고 설명했습니다.
[MBN 온라인뉴스팀]
![썸네일 이미지 - [김주하의 '그런데'] 산업스파이가 활개치는 이유](https://img.vod.mbn.co.kr/vod2/552/2023/12/14/20231214195933_20_552_1345889_1080_7_s1.jpg)
![썸네일 이미지 - [김주하의 '그런데'] 매표 포퓰리즘의 끝은?](https://img.vod.mbn.co.kr/vod2/552/2023/12/13/20231213200405_20_552_1345776_1080_7_s1.jpg)
![썸네일 이미지 - [김주하의 '그런데'] 예산에 근무시간을 맞추라니](https://img.vod.mbn.co.kr/vod2/552/2023/12/12/20231212200129_20_552_1345668_1080_7_s1.jpg)
![썸네일 이미지 - [김주하의 '그런데'] 탁상행정이 빚은 '100명 ...](https://img.vod.mbn.co.kr/vod2/552/2023/12/07/20231207195814_20_552_1345281_1080_7_s1.jpg)
