섹션

가상화폐거래소 '해킹 불안'…정부, 보안실태점검 강화

지난 26일 일본의 가상화폐 거래소 코인체크에서 뉴이코노미무브먼트(NEM) 가상화폐 지갑 해킹으로 약 580억엔(5천600억원) 규모의 도난 사고가 발생한 것을 계기로 국내 거래소들의 사고 실태에 관심이 쏠리고 있다.

올해 들어서는 아직 국내 가상화폐 거래소에서 발생한 대규모 분실·도난·탈취 사태는 없으나, 작년에는 4월 야피존(현 유빗) 해킹, 6월 빗썸 개인정보 유출, 12월 유빗 해킹 등 사건이 잇따라 드러났다.

야피존은 작년 4월 전자지갑 해킹으로 비트코인 55억원어치(당시 시가 기준)를 도난당했으며, 유빗으로 이름을 바꾼 후인 12월에도 해킹을 당해 가상화폐 자산의 17%에 해당하는 손실이 났다고 주장하고 파산 절차를 밟겠다고 선언했다. 다만 이 두 사건은 아직 경찰조사가 진행중이며, 해킹인지 다른 요인이 있는지 객관적으로 확인되지는 않았다.

국내 주요 거래소 중 하나인 빗썸(운영업체 비티씨코리아닷컴)은 작년 6월 개인정보 3만6천건이 유출되는 사고가 드러나 12월 방통위에서 과징금 4천350만원과 과태료 1천500만원이 부과됐다. 이 업체는 개인정보 파일을 암호화하지 않은 채 개인용 컴퓨터에 저장하고, 백신 소프트웨어를 업데이트하지 않는 등 기본적인 보안 조치를 소홀히 했으며, 이 탓에 악성코드에 감염됐다.

이처럼 최근 국내에서도 가상화폐 거래소에 대한 해킹 의심 사건이 잇따르자 정부는 거래소의 보안 실태를 점검하고 앞으로 정보보호 수준을 계속 높이도록 유도할 방침이다. 다만 정보보안 분야의 특성상 사고를 100% 막을 수 있는 방법은 아예 존재할 수가 없고, 명백한 위험 요소를 줄여 나가는 정도 수준의 대응이 최선인 게 현실이다.

방통위·과학기술정보통신부·한국인터넷진흥원(KISA) 등 관계 기관들은 지난해 10∼12월 국내 대형 가상화폐거래소 10곳의 보안실태를 점검했으며, 방통위는 점검 결과를 바탕으로 이달 24일 이 중 나무(업비트)·리플포유·씰렛(코인피아)·이야랩스·야피안(유빗)·코빗·코인원·코인플러그 등 8곳에 총 1억4천100만원의 과태료를 부과했다. 8개 업체 중 리플포유와 야피안은 해킹 사고로 사이트가 폐쇄되고 거래가 중단된 상태다.

국내에서 영업중인 가상화폐 거래소들 중 업비트, 빗썸, 코인원, 코빗 등 4곳은 올해부터 정보보호관리체계(ISMS) 인증 의무대상자가 될 전망이다. 정보통신서비스 매출액(전년도 기준)이 100억원 이상이거나 하루 평균 이용자수(전년도말 기준 직전 3개월간)가 100만명 이상인 업체는 ISMS 인증 의무 대상이다.

정부 당국은 또 당분간 ISMS 인증 의무대상에 포함되지 않을 공산이 큰 중소규모 거래소들에 대해 자율인증인 '개인정보관리체계'(PIMS) 인증과 '개인정보보호 인증마크'(ePRIVACY Mark)를 받도록 강력히 유도할 방침이다.

방통위는 29일 정부 세종컨벤션센터에서 교육부·문화체육관광부 등과 함께 한 정부업무보고에서 주요 정책과제를 보고하면서 "가상통화 거래소, O2O사업자 등 신유형 서비스와 국내에 영향력 있는 글로벌 사업자의 개인정보 보호수준에 대한 실태점검을 강화하겠다"고 밝혔다.

정부는 또 개인정보 유출사고를 낸 사업자에 대한 과징금을 상향 조정하는 방안, 서비스 임시중지 명령제를 도입하는 방안, 국외이전 중단 명령권을 도입하는 방안 등 개인·위치정보 관련 규제 집행력을 강화하는 방침을 추진중이다.

또 정보 침해 사고에 대한 집단소송제를 도입하고, 사업자들이 손해배상 보험이나 공제에 가입하는 것을 의무화하는 방안도 함께 추진중이다.