암호화폐(가상화폐) 거래소 해킹 사고가 또다시 발생하면서 보안 검증 없이 우후죽순 생겨나는 거래소에 대한 신뢰성 문제가 도마 위에 올랐다.

보안 업계는 국내 가상화폐 거래 규모가 세계 상위권 수준으로 커지면서 막대한 수수료 이득을 노린 거래소가 난립하지만, 이렇다 할 규제가 없어 앞으로도 유사한 해킹 사고가 언제든 발생할 수 있다고 지적한다.

코인레일 해킹에 따른 시스템 점검 홈페이지 공지. / 코인레일 홈페이지 갈무리
코인레일 해킹에 따른 시스템 점검 홈페이지 공지. / 코인레일 홈페이지 갈무리
이번에 해킹 사고가 발생한 코인레일은 10일 오전 1시경부터 40분에 걸쳐 400억원 규모의 가상화폐를 유출 당했다. 유출된 가상화폐는 주로 개당 수십원 수준의 알트코인이지만, 피해 규모는 현재까지 발생한 거래소 해킹 사고 중 사상 최대다.

현재 경찰청과 한국인터넷진흥원(KISA)이 현장 출동해 사고 원인을 분석 중이다. 가상화폐 유출이 실제로 해킹에 의한 것인지, 전산망 오류로 인한 것인지를 먼저 밝혀내는데 수사력이 집중될 전망이다.

코인레일 해킹 사고는 지난해 말 가상화폐 시장을 떠들썩하게 한 유빗 해킹 사고 이후 6개월 만이다. 지난해 4월 55억원 규모의 가상화폐 도난 사고를 당한 야피존은 유빗으로 이름을 바꾸고 거래소 사업을 계속했지만, 12월 재차 170억원 규모의 해킹 사고를 겪으면서 결국 파산에 이르렀다.

정부는 유빗 사태 이후 가상화폐 거래소에 대한 보안 강화 조치를 내놨으나, 실효성이 부족하다는 지적이다. 정부는 당시 해킹, 개인정보 유출 등 사이버 침해사고 피해 예방을 위한 조치안을 내놨다. 여기에는 거래소에 대한 주기적 보안 점검, 정보보호관리체계(ISMS) 인증 의무화, 정보보호최고책임자(CISO) 지정 등 거래소 보안 강화 지원과 사업자 책임 및 이용자 피해 구제 강화안이 담겼다.

코인레일 역시 올해 3월 정부의 거래소 사이버 보안 및 개인정보보호 체계 점검 대상에 포함돼 있었다. 코인레일은 당시 보안상 미흡한 부분이 발견돼 개선 조치 명령을 받았다. 하지만, 이번 해킹 사고로 코인레일 측이 제대로 된 후속 조치를 수행하지 않은 게 아니냐는 의구심이 나온다.

ISMS 인증의 경우도 거래량 기준 국내 7위 거래소인 코인레일은 의무 대상이 아니다. ISMS 인증 의무 대상은 전년 기준 매출 100억원 이상, 전년도 말 기준 직전 3개월간 하루평균 방문자 수 100만명 이상 거래소에 해당한다. 현재 이 기준을 충족하는 곳은 코인원, 빗썸, 업비트, 코빗 네 곳뿐이다. 하지만, 현재까지 이 네 곳 중 ISMS 인증을 받은 곳은 한 곳도 없다.

피해를 본 투자자에 대한 구제책도 미흡하다. 대다수 거래소는 약관에 광범위한 면책조항을 규정하며 거래 위험을 고객에게 전가한다. 코인레일의 경우 공정거래위원회 거래소 약관 심사에서 고객에게 손해배상을 해야 할 때 가상화폐나 포인트로 할 수 있다고 명시했다가 시정 권고를 받은 바 있다. 하지만, 코인레일은 시정 권고에 내용을 수정하기는커녕 아예 해당 조항을 삭제한 것으로 알려졌다.

가상화폐 거래소 업계는 협회를 만들고 자율규제안을 마련하는 등 자정 노력을 기울이는 모습을 보였으나, 구체적인 변화는 눈에 띄지 않는다. 협회 가입 자체가 의무가 아니기 때문에 자율규제안도 회원사에만 한정된다. 협회에 가입한 거래소는 현재 23곳이지만, 이 중 자율규제 심사 대상 거래소는 14곳뿐이다.

보안 업계 한 관계자는 “가상화폐 거래소가 상대적으로 운영을 위한 시스템 구축이 쉽고, 꾸준한 거래 수수료를 통해 이익을 얻을 수 있다고 알려지면서 보안 검증 없이 설립된 거래소가 투자자의 자산 안전을 위협하고 있다"며 “최근 오픈하는 거래소의 경우 보안을 경쟁력으로 내세우고, 해킹에 안전한 거래소라고 홍보하지만, 실상은 보안이 매우 취약한 상태로 거래소를 운영하고 있었던 것을 여실히 보여준다"고 말했다.