보안인증 의무대상 포함·점검 강화·CISO 핫라인 설치 등 임시조치
전문가 "제도권 편입해 보안규제 강화 시급"
국내 가상화폐거래소(암호화폐거래소)중 하나인 유빗이 해킹피해로 파산절차에 들어간 가운데 비트코인·이더리움 등 가상화폐(암호화폐) 거래를 매개하는 국내 거래소들이 정보보안 규제의 사각지대에 놓여 있다.
거액의 돈이 왔다갔다하기 때문에 이용자 보호 조치가 절실하지만, 지금 상황에서는 법적으로 '일반 사이트'와 똑같이 취급돼 정부가 강력한 규제를 하기는 어려운 실정이다.
이 때문에 정부는 일단 현행법으로 가능한 범위에서 사후규제를 최대한 강화하는 한편 내년부터 보안인증 의무 대상이 될 것으로 보이는 일부 거래소에 대해 인증의무 조기 이행을 요청하고 거래소별 정보보호최고책임자(CISO)와 과기정통부 사이의 핫라인을 구축토록 할 계획이다. 그러나 이는 법규가 마련되지 않은 상태에서 하는 것이어서 사실상 임시조치에 불과하다.
전문가들은 가상화폐거래소의 보안 취약성이 자칫 감당하기 어려운 사고로 이어질 가능성이 높다는 점에서 제도권 편입을 전제로 하는 보안규제 강화가 시급하다고 지적한다.'
◇ 보안규정 '일반 사이트'와 동일…논란 커지자 정부 "인증받아라"
20일 과학기술정보통신부와 방송통신위원회에 따르면 국내에서 영업중인 가상화폐거래소들은 모두 일반적인 통신판매업자 사이트와 같은 기준으로 정보보안에 관한 규제를 받고 있다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제47조 2항은 정보보호관리체계(ISMS) 인증을 받아야 하는 의무대상자를 정하고 있으나, 국내 가상화폐 거래소들은 여기 포함되지 않는다.
정보통신서비스 매출액(전년도 기준)이 100억원 이상이거나 하루 평균 이용자수(전년도말 기준 직전 3개월간) 100만명 이상이면 ISMS 인증을 받아야 하지만, 국내 가상화폐 거래소들은 거래가 활발히 이뤄진지 몇 달 되지 않아 아직은 이에 해당하지 않는다.
이에 따라 정부는 현행 법령상 가능한 범위 내에서 최대한 보안 조치를 앞당기고 강화하도록 유도키로 했다.
과기정통부는 빗썸, 코인원, 코빗, 업비트 등 4개 거래소가 내년부터 ISMS 인증 의무대상이 될 것으로 보고 20일 이 사실을 업체들에 통보하는 한편 보안 강화의 시급성을 감안해 조속히 인증을 이행해 달라고 요청했다.
당분간 ISMS 인증 의무대상에 포함되지 않을 중소규모 거래소들에 대해 방통위는 자율인증인 '개인정보관리체계'(PIMS) 인증과 '개인정보보호 인증마크'(ePRIVACY Mark)를 받도록 유도할 방침이다.
과기정통부는 또 거래소별로 정보보호 대책을 마련할 정보보호최고책임자(CISO)를 지정해 핫라인을 구축하고 해킹 위협 동향을 신속히 공유하기로 했다.
또 민간기업과 동동으로 실시하는 '사이버 보안 모의훈련'에 거래소의 참여를 적극 유도할 방침이다.
방통위는 사업자 책임 강화를 위해 개인정보 유출 등 지속적 법규 위반이 적발된 사업자에 대해 '서비스 임시 중지조치 제도'를 도입하겠다는 계획을 세웠으며, 개인정보 유출시 집단소송제 도입과 손해배상 보험·공제 가입 의무화 도입도 검토중이다.
◇ 정부, 사후규제 고삐 조인다…보안점검 강화키로
과기정통부와 방통위는 해킹 등 보안침해사고가 발생하거나 개인정보 유출이 발생한 경우 사후 규제에 주력해 왔으나, 올해 들어 4월 야피존(현 유빗) 해킹, 6월 빗썸 개인정보 유출, 12월 유빗 해킹 등 사건이 잇따라 드러났다.
야피존은 올해 4월 전자지갑 해킹으로 비트코인 55억원어치(당시 시가 기준)를 도난당했으며, 유빗으로 이름을 바꾼 후인 최근에도 해킹을 당해 가상화폐 자산의 17%에 해당하는 손실이 났다고 주장했다. 다만 이 두 사건은 아직 경찰조사가 진행중이며, 해킹 여부가 확실치는 않다.
국내 최대 거래소인 빗썸(운영업체 비티씨코리아닷컴)은 6월 개인정보 3만6천건이 유출되는 사고가 드러나 12월 방통위에서 과징금 4천350만원과 과태료 1천500만원이 부과됐다. 이 업체는 개인정보 파일을 암호화하지 않은 채 개인용 컴퓨터에 저장하고, 백신 소프트웨어를 업데이트하지 않는 등 기본적인 보안 조치를 소홀히 했으며, 이 탓에 악성코드에 감염됐다.
당시 방통위의 제재 결정이 나왔을 때도 '솜방망이 제재'라는 의견이 일각에서 나왔으나, 매출 규모와 사용자 수 등을 감안할 때 현행 법령상으로는 더 무거운 제재가 어려운 상황이었다.
규제 공백 상태에서 사고가 잇따르자 과기정통부는 업체들의 '자발적 협조'를 얻어 지난달 국내 거래의 90% 이상을 차지하는 빗썸, 코인원, 코빗 등 3대 업체와 해킹 사건이 발생한 유빗 등 가상화폐 거래소 10곳에 대해 보안점검을 실시했다.
그 결과 대부분이 접근통제장치 설치·운영, 개인정보 암호화 등 관리적·기술적 보안조치가 전반적으로 미흡한 것으로 드러나 시정 권고를 받았다.
방통위는 내년 1월에 정보통신망법 등 법규 위반이 발견된 거래소에 과징금·과태료 등 행정처분을 엄격히 내릴 예정이다.
방통위는 이와 별도로 파산절차 돌입을 선언한 유빗에 대해 폐업시 개인정보 폐기 등 의무사항을 준수하는지 점검할 예정이다.
다만 유빗 등 개별 업체의 해킹 사건에 대해 과기정통부와 방통위는 경찰과 한국인터넷진흥원(KISA) 등을 통해 나올 수사 내용을 바탕으로 조치를 취할 방침이어서 상당한 시간이 걸릴 전망이다.
◇ 전문가 "제도권 내 편입해 규제해야"
보안규제 공백 상황에 대해 업계, 학계, 정부 등에서는 현행 법령에 의거한 정부의 조치는 임시조치에 불과하며, 결국은 가상화폐거래소를 제도권 안으로 들여 놓고 규제를 마련해서 해결하는 수밖에 없다는 의견이 우세하다.
가상화폐거래소는 설령 규모가 작더라도 다른 일반 사이트와 달리 특별히 엄격하게 관리해야 할 필요성이 있으므로 현행 법령에 따른 정보보호 규제로는 한계가 있다는 것이다.
김형중 고려대 정보보호대학원 교수는 "지금은 우리나라에 관련 법규가 없어서 별도 규제를 적용할 수는 없고 키를 보관할 때 콜드 스토리지(인터넷과 연결되지 않은 저장장치)를 사용토록 하고 고객이 예치한 돈을 은행에 보관해야 한다는 등 거래소가 지켜야 할 가이드라인만 있는 상황"이라고 지적했다.
그는 "가상화폐 거래소에서 해킹은 단순히 개인정보 유출에 그치는 것이 아니라 키가 유출돼 돈 자체를 잃어버리는 일로 이어진다"며 "정부가 가상화폐에 대해 화폐냐, 상품이냐, 증권이냐, 아니면 또 다른 것이냐 하는 것에 대해 정의를 빨리 내리고 제도권 안으로 들여와야 한다"고 강조했다.
그는 "우리 정부가 가상화폐에 대해 '투기장화되고 있다'는 점에만 신경을 쓰고 있는데, 자금결제법을 개정한 일본처럼 가상화폐거래소의 정부 승인 제도를 도입하고 그 일환으로 보안 규제를 하는 것이 바람직하다는 게 중론"이라고 설명했다.