암호화폐 거래소 빗썸과 코인원은 한국인터넷진흥원(KISA)으로부터 정보보호관리체계(ISMS) 인증을 받았다고 31일 밝혔다.
ISMS 인증은 ‘거래소 보안’을 위한 최소한의 안전장치로 해당 업체가 보유한 정보 자산에 대한 보호 관리체계가 안전하고 신뢰성 있게 운영되는지 여부를 종합적으로 평가한다.
과학기술정보통신부가 ISMS 인증 제도를 관리·감독하고, KISA가 인증 제도를 운영하고 있다.
주요 사항은?
“과기정통부, 매출액 100억 원에 최근 3개월 일평균 방문자 100만 명 이상 의무 인증”
“고팍스 시작으로 업비트, 코빗, 빗썸, 코인원 등 순차적 인증”
과기정통부는 지난해 12월 일정 규모 이상(정보통신서비스 부문 전년도 매출액 100억 원 이상, 최근 3개월간 일일 평균 방문자 100만 명 이상) 거래소를 ISMS 인증 의무 대상으로 권고한 바 있다.
이에 따라 고팍스에 이어 업비트, 코빗, 빗썸, 코인원 등이 순차적으로 ISMS 인증을 받았다. 고팍스는 지난해 정부가 지정한 ISMS인증 획득업체로 지정되지 않았지만 보안 강화를 위해 선제적으로 인증 획득절차에 나섰다.
이번 빗썸과 코인원이 ISMS 인증을 받으면서 4대 거래소는 모두 ISMS 인증을 마치게 됐다. 과기정통부는 당초 올해 안에 ISMS 획득 대상에 대한 인증 완료를 목표로 삼았다.
ISMS 인증은 정보보호 관리 과정 5단계의 12개 항목과 정보보호 대책 13개 분야 92개 항목 등 총 104개 통제 항목으로 구성된다.
빗썸은 자체적으로 ‘자금세탁방지’(AML)에 관한 규정과 ‘본인 확인’(KYC) 강화 등을 통해 투명하고 건전한 암호화폐 시장 조성을 위한 노력도 이어가고 있다.
빗썸 측은 “정보보호 관리체계 국제표준인 ISO27001과 개인정보보호 관리체계국제인증인 BS10012 등 공신력 있는 글로벌 보안 인증 획득도 추진하고 있다”며 “앞으로도 이용자들이 안심하고 이용할 수 있는 최고 수준의 보안 시스템을 구축할 것”이라고 말했다.
이밖에 사항은?
“대형 거래소 보안 움직임 별개로 중소형 거래소 보안 미비 지적”
“금융감독원 명의 사칭한 악성코드부터 북한 해커 집단 움직임 등 보안 공격 극심”
한편 국내 대형 암호화폐 거래소들의 보안 강화 움직임과 달리 중소형 거래소들은 별다른 모습을 보이지 않고 있다는 평가다.
실제 과기정통부와 한국인터넷진흥원(KISA)이 지난 8월 발표한 암호화폐 거래소 보안 중간점검 결과에 따르면 21곳 거래소 대다수가 지갑 보안에 취약점을 보인 것으로 나타났다.
세부적으로 지갑(콜드월렛) 개인키 유출·분실 방지 보안대책(12곳), 지갑(핫월렛) 이상 징후 모니터링(10곳), 지갑 백업·복구대책(10곳) 등이 기준에 미치지 못한다는 평가다.
지난 8월 이스트시큐리티는 국내 암호화폐 거래소를 타깃으로 금융감독원 명의 사칭의 지능형지속위협(APT) 공격 정황을 포착했다고 밝힌 바 있다. 암호화폐 거래소 관계자가 첨부 파일을 열도록 유도한 ‘유사수신행위 법률 위반 통지문’ 등 금융감독원 발송 메일처럼 위장한 것이다.
큐브피아도 북한 해커들로 보이는 암호화폐 거래소 공격 정황을 파악했다. 올해 중순부터 최근까지 공격이 지속됐다.
거래소는 물론이며 개인 지갑을 노리고 암호화폐 백서 등을 가장한 메일 등 스피어피싱 공격이 넘쳐났다. 암호화폐 커뮤니티 등 투자자가 활발한 활동을 하는 곳이면 악성코드가 심겨진 가짜 백서를 뿌리기도 했다.
업계 한 관계자는 “정부 규제 공백을 틈타 우후죽순 설립된 암호화폐 거래소로 인해 이용자들은 물론이고 업계 전반에 대한 신뢰가 크게 떨어지고 있다”며 “나중 보안이 강화된 대형 거래소 위주로 흐름이 굳어지겠지만 그 이전 막대한 손실을 방지할 수 있는 장치가 시급히 필요하다”고 강조했다.