거래량 기준 국내 2위 규모의 암호화폐(가상화폐) 거래소 빗썸이 해킹으로 350억원 규모의 가상화폐를 탈취당하며 ‘금융권 수준'의 보안을 구축했다는 빗썸의 큰소리가 무색하게 됐다.
◇ 솔루션 도입하고 ‘금융권 수준 보안’ 강조…”초보적이고 위험한 발상"
빗썸 해킹 사고는 이번이 처음이 아니다. 빗썸은 2017년 6월 29일 직원 PC가 해킹당해 3만명에 달하는 회원 개인정보를 무더기로 유출했다. 유출 당한 개인정보는 해커가 빗썸 운영진을 사칭해 악성코드를 발송하는 등 2차피해로 이어졌다. 일부 회원은 이로 인해 가상화폐를 도난당하기도 했다. 당시 빗썸은 개인정보 유출로 피해를 본 회원에게 10만원씩 보상했다.
방송통신위원회는 같은해 12월 빗썸을 운영하는 비티씨코리아닷컴에 과징금 4350만원과 과태료 1500만원을 부과했다. 빗썸이 개인정보 파일을 암호화하지 않은 채 개인용 컴퓨터에 저장하고, 백신을 업데이트하지 않는 등 기본적인 보안 조치를 소홀히 했다는 이유에서다.
이는 가상화폐 거래소에 대한 정부의 첫 제재였으나, 직전 연도 매출을 기준으로 하는 느슨한 법 체계 탓에 당시 빗썸 거래량에 비해 솜방망이 수준의 지적이 나왔다.
빗썸은 이후 보안 강화를 기치로 내거는 듯한 움직임을 보였다. 투자자를 대상으로 각종 보안 캠페인을 펼치는 한편, 블록체인협회에 가입해 자율규제안을 준수하기로 하는 등 보안을 마케팅에 적극적으로 활용하기 시작했다.
빗썸은 2월 안랩의 ‘세이프 트랜잭션'을 도입하고, 금융권 수준의 보안 구축을 완료했다며 대대적으로 홍보했다. 안랩 세이프 트랜잭션은 실제로 우리은행 등 제1금융권에서 도입해 사용 중이기는 하나, 이는 수많은 층위의 보안 시스템 중 하나에 불과하다. 안랩의 세이프 트랜잭션은 사용자 PC에서 서버까지의 정보 전송 구간만 보호하는 솔루션이다.
무엇보다 솔루션을 덕지덕지 바른다고 해서 보안이 강화될 것이란 주장은 지극히 초보적인 발상이자, 되레 관리해야 할 포인트가 많아져 더 큰 위험을 초래할 수 있다는 게 보안 업계의 지적이다. 최근 마이크로소프트는 컨설팅 업체 프로스트앤설리번과 공동으로 조사한 보고서를 통해 50개 이상 보안 솔루션을 도입한 기업 중 31%가 침해 경험이 있고, 침해를 복구하는 시간도 상대적으로 오래 걸린다는 조사 결과를 발표한 바 있다.
빗썸이 이번에 해킹당한 경로에 대해서는 현재 조사가 진행 중이나, 지난해 회원 정보 유출 사고 당시와 비슷한 이메일 스피어피싱에 당한 게 아니냐는 관측이 나온다. 해커가 서버에 직접 침투하기보다 상대적으로 보안이 취약한 직원 PC를 감염시킨 후 이를 통로로 서버에 침투하는 방식이다. 보안 업계는 5월 말부터 가상화폐 거래소 등을 대상으로 악성 한글 문서(hwp) 파일을 첨부한 이메일이 대거 유포된 정황을 포착한 바 있다.
실제 빗썸도 16일부터 비정상적인 접근 시도가 증가해 시스템 보안 강화를 위한 긴급 서버 점검을 실시하는 등 대규모 해킹 전조 징후를 포착했으나, 정작 해킹을 막아내지는 못한 셈이다.
◇ 정부도 거래소도 팔짱만…투자자 ‘자기 책임' 탓 언제까지
그럼에도 가상화폐 거래소는 여전히 정부의 관리감독 대상에서 한발 물러서 있는 상태다. 가상화폐 관련 법률 제정도 갈 길이 멀다. 대표적으로 제윤경 더불어민주당 의원이 대표발의한 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안의 경우 가상화폐 거래소에 대한 ISMS 인증과 자금세탁 방지 의무를 부과하는 안을 담고 있지만, 3월 국회에 제출된 이후 지금껏 정무위에 계류된 상태다.
금융감독원이 1월 발표한 가상화폐 관련 정부 입장은 이렇다. “가상화폐는 법정화폐가 아니며, 누구도 가치를 보장하지 않기 때문에 불법행위, 투기적 수요, 국내외 규제 환경 변화 등에 따라 가격이 큰 폭으로 변동해 큰 손실이 발생할 수 있으므로 가상화폐 채굴, 투자, 매매 등 일련의 행위는 자기 책임하에 신중하게 판단할 필요가 있음을 다시 한번 당부한다.”
결국, 모든 책임은 규제에서 손 놓은 금융당국도, 허언으로 일관하는 가상화폐 거래소도 아닌 개인 투자자의 몫으로 남는다.
