최근 암호화폐 거래소들의 잇따른 해킹 사고에도 불구하고 몇몇 거래소를 제외한 다수 거래소 사이트가 보안에 취약한 것으로 나타났다. 특히 정부당국의 개선 요청에도 불구하고 상황이 크게 나아지지 않았다는 지적이다.
과학기술정보통신부와 한국인터넷진흥원(KISA)가 지난 6~7월 21개 암호화폐 거래 사이트를 상대로 실시한 보안 상태를 중간 점검한 결과를 17일 발표했다. 내용에 따르면 점검 대상 중 절반 이상인 12곳이 암호화폐 지갑관리 부문의 보안대책이 기준에 미치지 못하는 것으로 나타났다.
중간점검은 KISA 보안전문가가 직접 취급업소 현장을 방문해 조치를 권고했던 17개 보안 항목을 중심으로 개선 여부를 확인하는 방식으로 진행됐다. 단기조치항목은 △보안 전담 조직 구성 △관리 전용 단말기 지정 △시스템 접근 패스워드 관리 △암호화폐 입출금 통제 △지갑 이상 징후 모니터링 등으로 구분된다.
점검결과 단기조치항목은 일부 조치가 이뤄졌으나 지갑 개인키 유출·분실 방지 등의 보안대책과 이상징후 모니터링, 지갑 백업·복구대책 등 일명 암호화폐 지갑 관리는 흡족할만한 결과를 내놓지 못했다는 판단이다.
그러나 1위 거래소 업비트와 빗썸, 코빗, 코인네스트, 코인링크, 코인원, 코인플러그, 후오비 등의 8개 사이트는 단기조치항목 이행을 완료했으며 암호화폐 지갑관리 항목도 보안 미비 항목을 2개 이내로 개선되는 등 보안에 적극 나서는 것으로 확인됐다.
과기정통부는 오는 9~10월 보안 개선권고 최종점검을 실시해 85개 보안항목 전체의 개선현황을 재확인한다는 방침이다. 특히 해킹으로 인한 가상통화 유출이 이용자의 직접적 피해로 이어지는 만큼 최종점검 결과 85개 보안 점검 항목을 모두 만족하는 거래소 명단을 공개할 계획이다. 사실상 보안 기준에 미치지 못하는 거래소는 부정적 이미지를 노출시켜 자연스레 시장에서 퇴출시키겠다는 압박이다.
과기정통부와 KISA는 지난 1~3월 21개 암호화폐 거래소의 신청을 받고 기본적 보안 요구사항 85개 항목을 점검한 바 있다. 점검 결과 대부분 보안 상태가 좋지 못한 것으로 드러났다.
이에 과기정통부는 지난 4월 이들의 보안 미비점 개선을 권고하는 등 단기간 조치가 가능한 6개 항목과 암호화폐 지갑관리 11개 항목 등 총 17개 항목의 신속한 조치를 권고했다. 그 외 항목도 오는 9월까지는 조치를 취할 것을 권고했다.
김정삼 과기정통부 정보보호정책관은 “아직까지 암호화폐 거래 사이트 보안이 취약한 수준으로 이용자 투자 시 주의가 요구된다”며 “지속적인 점검으로 가상통화 취급업소 보안 수준 향상을 지원할 계획”이라고 말했다.
한편 과기정통부와 KISA는 보안점검을 실시한 21개 암호화폐 사이트 외에도 나머지 사이트에 대해서 보안점검을 진행하는 중이라 밝혔다.