급증하는 신생 암호화폐 거래소에 대한 보안 우려가 높아지는 가운데 국내 암호화폐 거래소 7곳을 제외한 대다수 거래소들이 보안에 취약한 것으로 드러났다.
이러한 결과는 보안 시스템이 뛰어난 거래소 중심으로 이용자들이 쏠릴 것이란 업계 전망에 힘을 실어주고 있다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 암호화폐 취급업소를 대상으로 지난해 9월부터 12월까지 실시한 정보보호 수준 점검 결과를 발표하였다.
주요 사항은?
“거래소별 85개 보안항목 재점검 결과 7곳 제외한 나머지 거래소 보안 취약”
“보안항목 모두 충족 거래소, 업비트‧빗썸‧고팍스‧코빗‧코인원‧플루토스디에스‧후오비”
해당 점검은 지난해 1~3월 21개 암호화폐 거래소의 신청을 받아 기본적 보안 요구사항 85개 항목에 대해 점검하고 개선을 권고한 사항의 이행현황을 확인하고자 진행됐다.
KISA 보안전문가가 거래소별 85개 보안항목을 재점검했다. 지난해 1~3월 점검 이후 설립된 거래소 17곳도 정보보호 수준 점검을 병행했다.
보안항목은 세부적으로 △관리적 보안(10개) △망분리‧계정관리 등 운영환경 보안(21개) △시스템‧네트워크‧데이터베이스(DB) 접근통제 등 시스템 보안(33개) △백업‧사고대응(10개) △암호화폐 지갑관리(11개) 등이다.
우선 보안 미비점 개선을 권고 받은 거래소 21곳 중 7곳은 85개 보안 점검항목을 모두 충족하며 보안수준이 크게 개선됐다. 7곳은 업비트를 운영하는 두나무를 비롯해 비티씨코리아의 빗썸, 스트리미의 고팍스, 코빗, 코인원, 플루토스디에스의 한빗코, 후오비 등이다.
나머지 14곳은 보안 미비점 개선이 아직 미완료 상태다. 업체별 수준 차이는 있지만 전반적으로 보안이 취약(14곳 평균 51개 항목 미흡)해 해킹 공격 위험에 상시 노출될 수 있다는 우려다.
14곳 중 7곳은 서비스 중단 예정 등 내부사정을 이유로 점검을 받지 않아 1~3월 점검 결과로 산출했다.
또한 지난해 1~3월 점검 이후 새롭게 확인된 17곳의 거래소들은 평균 61개 항목이 미흡했다. 보안 수준이 전반적으로 취약해 보안 투자 및 개선 노력이 필요하다는 견해다.
일부 거래소들은 망분리‧접근통제는 물론 기본적인 PC, 네트워크 보안 등 보안 체계 수립조차 안 된 것으로 확인됐다.
세부적으로 망분리‧접근통제 미흡은 12곳, 방화벽 등 정보보호시스템 운영 미흡은 13곳, 백신‧보안패치 미흡은 15곳, 이상 징후 모니터링 미흡은 16곳이다.
이밖에 사항은?
“과기정통부, 보안 미비점 개선현황 지속 점검 … ISMS 인증 4개 사업자 획득”
“업계 일각, 보안 신뢰도 유무로 대형 거래소와 신생 거래소 이용자 격차 심화될 것”
과기정통부는 향후 해킹으로 인한 이용자 피해 방지 측면에서 거래소에 대한 보안 미비점 개선현황 지속적으로 확인하고 점검할 방침이다. 신규 추가 거래소에 대해서도 정보보호 수준 점검을 통한 보안 미비점 개선을 유도해 나간다는 계획이다.
과기정통부는 거래소들의 정보보호관리체계(ISMS) 인증과 관련해 지난해 기준 의무 대상 4개 사업자(두나무, 비티씨코리아, 코빗, 코인원)가 인증을 완료했다고 밝혔다. 자율적으로 3개 사업자가 인증을 신청했고 1개 사업자(스트리미)가 인증을 완료했다. 2개 사업자는 인증심사 중이다.
오용수 과기정통부 정보보호정책관은 “85개 점검항목을 모두 만족시킨 7곳의 거래소를 제외하고 대부분 보안이 취약한 수준으로 이용자들의 각별한 주의가 요구된다”며 “올해도 거래소 사이버 공격이 계속될 것으로 예상돼 보안 미비점 개선 권고 이행을 조속히 완료하길 바란다”고 당부했다.
한편 국내 최대 암호화폐 거래소 업비트의 경우 보안 강화에 적극적으로 나서는 중이다. 지난해 11월 ISMS 획득에 이어 ISO 27001(정보보안), ISO 27017(클라우드 보안), ISO 27018(클라우드 개인정보 보안)에 대한 ISO 인증을 끝마치며 국내 암호화폐 거래소 중 가장 많은 보안 인증을 획득했다.
여기에 그치지 않고 금융권 수준의 KYC 도입 및 상장 심사원칙 공개 등 투자자 보호에 투자를 거듭하는 중이다.
업비트와 함께 국내 양대 거래소인 빗썸은 지난달 ISMS 인증을 끝마쳤고 추가로 ISO27001 등의 글로벌 보안 인증 획득을 추진하는 중이다.
코빗도 지난달 ISMS 인증을 획득했으며. 이에 앞서 ISO 27001 인증도 끝마쳤다. 코인원은 역시 지난달 ISMS 인증을 받는 등 향후 글로벌 보안 인증 획득에도 적극 나설 방침이다.
업계 관계자는 “업비트와 빗썸, 코인원, 코빗 등 국내 4대 암호화폐 거래소의 ISMS 인증 등 보안 솔루션 강화 움직임은 이용자들의 니즈 충족 차원에서 큰 의미를 지닌다”며 “거래소 설립에 대한 당국의 명확한 기준조차 없는 상황에서 이용자들이 스스로 높은 신뢰의 거래소를 선택해야하기 때문에 앞으로 대형 거래소와 신생 거래소의 이용자 격차는 더욱 커질 것”이라고 밝혔다.
