2019-11-14 23:57 (목)
해킹과 개인정보 유출로 신뢰 바닥치는 가상화폐 거래소…보안전문가들의 조언
상태바
해킹과 개인정보 유출로 신뢰 바닥치는 가상화폐 거래소…보안전문가들의 조언
  • 길민권 기자
  • 승인 2018.02.05 14:09
이 기사를 공유합니다

거래소 보안가이드라인 마련 시급…금융권 수준 보안체계 구축해야

bitcoin-3090250_640.jpg
지난 1월 26일 일본 최대 가상화폐 거래소 ‘코인체크’가 해킹을 당해 580억엔, 약 5천680억원 규모의 가상화폐 ‘넴(NEM)’을 도난 당하는 사태가 발생했다. 전체 거래 시스템을 24시간 인터넷에 연결해 놓고 보안을 위해 인터넷이 차단되는 거래 시스템인 ‘콜드월렛’도 구축하지 않았다. 침해사고 대응을 위한 보안시스템과 인력도 갖추지 않는 등 총제적 부실로 사고를 당한 것이다.

한국의 가상화폐 거래소 실정도 마찬가지다. 최근 과학기술정보통신부가 한국인터넷진흥원(KISA)과 함께 국내 가상화폐거래소 10곳을 점검한 결과 51개 보안 점검 기준을 통과한 업체가 단 한 곳도 없는 것으로 조사됐다. 이에 과기정통부는 빗썸, 코인원, 코빗, 업비트 등 주요 거래소들이 올해부터 정보보호관리체계(ISMS) 인증을 의무화한 상태다.

지난해 국내 가상화폐 거래소 유빗이 지난해 4월과 12월 두 차례 해킹을 당했다며 파산을 선언한 바 있다. 유빗은 최근 파산을 철회하고 다시 거래를 재개하려는 움직임을 보이고 있다. 한편 국내 최대 가상화폐 거래소인 빗썸은 지난해 6월 해킹을 당해 3만1천여 명의 회원정보가 유출된 바 있다.

이에 대해 방통위는 개인정보유출 관련 과징금 4천350만원과 과태료 1천500만원을 빗썸에 부과했다. 또 2월 1일 서울지방경찰청 사이버수사대는 빗썸 운영사 비티씨코리아닷컴을 대상으로 압수수색을 전격 실시했고 개인정보보호조치 의무 이행 여부와 해킹 경로를 파악하기 위한 자료를 확보했다. 빗썸 측은 해당 사고에 대해 “빗썸 내부 직원의 개인 PC가 해킹을 당해 전체 이용자 가운데 3% 수준인 이용자 휴대폰번호와 이메일 주소 등 개인정보가 유출됐다”고 밝힌 바 있다.

이외에도 방통위는 지난 1월 24일 가상통화 거래사이트 사업자 8곳 두리무, 리플포유, 씰렛, 이야랩스, 야피안, 코빗, 코인원, 코인플러그 등에 대해 정보통신망법을 위반했다며 총 1억4천100만원의 과태료를 부과했다. 즉 현재 대부분의 가상화폐 거래소가 접근통제솔루션 설치와 운영, 개인정보취급자에 대한 보안관리, 접속기록의 위변조 방지, 개인정보의 안전한 저장과 전송을 위한 암호화 조치 등 기술적∙관리적 보호 조치 등을 제대로 준수하지 않고 있다는 것을 알 수 있다. 가상화폐 거래소의 개인정보보호 실태와 망법 준수가 매우 취약한 상황이라는 것.

국내는 27개 중소 거래소가 운영되고 있다. 이중 주요 3개 거래소 하루 거래 금액이 5천억에 육박하고 있다. 김동연 부총리 겸 기획재정부 장관도 가상화폐를 규제 일변도에서 탈피해 블록체인 기술을 육성해야 한다는 의견을 내고 있다. 그렇다면 가장 중요한 관건은 이용자들이 안전하게 거래할 수 있도록 해킹이나 개인정보 유출로 피해를 보지 않게 하는 것이다. 가상화폐 거래소는 어떤 보안사항들을 지켜야 하고 거래소 규제는 어떻게 이루어져야 할까.

◇”거래소 자체 보안정책과 내부통제기준 수립해야”

한국과학기술연구원과 대우증권, 한국스탠다드차타드증권, 한국은행을 거쳐 한국블록체인협회 자문 등으로 활동 중인 김정혁 진앤현 부사장은 “암호화폐거래소는 해커와 내부자의 타깃이 되고 있다”며 다음과 같은 보안준수 사항이 제대로 이루어져야 한다고 강조했다.

주요 내용은 △거래소 자체 보안정책과 내부통제기준을 수립해 운영프로세스화 △회원가입절차와 매수매도자 월렛 거래내역, 개인정보 등 모든 데이터를 암호화 저장 △거래소 내부 PC 서버 등 전산시스템에 백신 방화벽 등 보안솔루션 설치 △DMZ 존 내부망과 공개망 분리 △고객정보 고객지갑 등 핵심정보에 대한 내부접근권한 설정 및 조회이력추적 모니터링△특히 아웃소싱 대신 자체 정보보안 전문인력 확보 및 보안책임자 지정 필수 △해킹 대비 암화화폐데이터 백업 등이다.

김 부사장은 덧붙여 “암호화폐 거래소는 현재 피싱, 파밍, 스미싱 등 기본적인 보안기능이 미비하고 보안체계를 구축하고 운영할 보안전문가 배치가 시급하다”고 강조했다.

◇”증권사에 준하는 시스템 보안체계 마련해야”

또 윤두식 지란지교시큐리티 대표는 “사실 가상화폐 거래소는 보안이 거의 안되어 있는 실정이다. 투자자의 돈을 안전하게 운용하려 한다면, 증권사에 준하는 시스템 보안체계가 갖춰져 있어야 한다”며 “또한 지금 거래소들은 암호화폐에 대해서 걸러내는 기능이 전혀 없다. 증권거래소처럼 어떤 암호화폐를 상장시킬지 분석능력이 있어야 한다고 본다. 지금은 등록제라 문제가 많기 때문에 정부에서는 허가제로 바꿔야 한다고 생각한다”고 밝혔다.

◇”해킹 공격 대응 역량과 은행에 준하는 내부통제 시스템 필요”

개인정보보호 전문기업 소만사 김대환 대표는 “가상화폐 거래소는 금전적 이권이 큰 곳이니 해커뿐아니라 내부통제도 신경써야 한다. 따라서 세계 최고의 해킹 공격 방어 역량이 필요하다. 북한 해커든 해외 해커 든 세계 최고 수준의 해커가 공격해 온다고 생각하고 대비해야 할 것이다. 더불어 은행에 준하는 직무분리와 내부통제 시스템이 필요하다”고 강조했다.

김 대표는 좀더 구체적으로 다음과 같은 거래소 보안시스템 강화 항목들을 제시했다. △주요 서버 접근단말 망분리 △주요서버 접근시 투팩터인증 △해커는 결국 인터넷으로 자료빼가기 때문에 인터넷 데이터 유출방지 시스템 도입 △사내 출력물 모두 사본유지 △개미 투자자보호 위해 사적인 메신저 사용금지 및 메신저 기록, 녹취시스템 도입 △주요 고객 개인정보 암호화 보관 △주요 서버 접속기록 보관 △원격접속시 VPN 활용 등을 제시했다.

◇”거래소 자율규제안에 포함되어야 할 사항들은…”

김승주 고려대 교수는 “가상화폐 거래소의 보안수준을 높여 현재 금융권 보안수준까지끌어올릴 수 있으면 좋겠지만 이건 시간이 걸리는 문제다. 다만 지금 정부에서 마련하고 있는 ‘자율규제안’에 확실히 해 둘 것들이 있다”고 밝혔다.

김 교수는 “우선 어차피 약관에 ‘해킹에 의한 사고는 배상을 못한다’고 해봐야 재판에서 이길리가 없다. 따라서 정확한 피해 보상 범위를 명시하는것이 필요하다. 또 보안 못지 않게 중요한 것은 거래소의 투명성을 확보하는 일이다. 사고가 날 경우 정말 해킹을 당한 것인지, CEO가 돈을 횡령한 것인지 알 수가 없다. 이에 DLP(내부 데이터 유출 방지 솔루션) 등을 설치해 사고가 나더라도 확실히 조사할 수 있도록 하는 방안을 마련하는 것이 중요하다”고 전하고 “또 자율규제안을 통해 기존 가상화폐 거래소들이 적당한 수준에서 본인들만의 진입장벽을 확보하려고 한다면 안된다. 제시된 자율규제안들의 조항들이 왜 들어갔으며 이유는 무엇인지 명확하게 설명하는 것이 필요하다”고 강조했다.

◇”정부가 보안 가이드라인 마련해 주면 최대한 따를 것”

한편 가상화폐 거래소 관련 기업 정보보호 책임자는 “거래소 폐쇄 등 규제 일변도 보다는 거래소 투명성을 확보할 수 있도록 정부에서 보안 및 운영 가이드라인을 정해주고 따르도록 한다면 충분히 따를 용의가 돼 있다. 이를 통해 거래 안전성과 신뢰도를 높여야 한다. 보안의 3대 요소인 기밀성, 무결성, 가용성 원칙을 거래소가 지킬 수 있도록 하는 것이 중요하다”고 말했다.

그는 “사용자 인증 보안을 강화하고 거래소 사무실 내 임직원 정보보안도 중요하다. 실제로 지난해 발생한 모 거래소 해킹 사건도 직원 PC를 타깃으로한 공격에서부터 시작했다. 직원 PC를 타깃으로 한 악성코드 공격 대응, 이메일 보안, 매체제어 등이 필요하다. 당연히 내부 직원들에 대한 보안교육도 이루어져야 한다. 또 24시간 365일 거래가 이루어지는 상황에 디도스 공격에 대한 대비도 필수”라며 “ISMS 인증의무화도 고객들을 위해 필요한 조치다. 즉 가상화폐 거래소도 증권거래소 수준으로 보안수준을 마련해야 한다. 정부에서 신속히 가이드라인을 마련해서 준수할 수 있도록 해야 한다. 현재 주요 거래소는 보안시스템 도입과 정보보안 인력채용도 계속 하고 있고 보안컨설팅도 받는 등 의지를 가지고 있다. 한편 보안산업과 정보보호 인력들의 일자리 확대 측면에서도 거래소 투명성을 확보는 중요하다”고 강조했다.

◇”보안점검 결과, 시급히 필요한 거래소 보안 사항 3가지는…”

이동근 한국인터넷진흥원 단장은 “가상화폐 거래소가 건전한 모델로 발전하기 위해서는 결국 금융기관 보안시스템 수준까지 올라가야 한다. 해킹을 당한 것인지 내부 횡령인지 알려면 현재 은행에서 갖추고 있는 감시체계를 구축해야 한다. 현재 거래소 4곳에 ISMS 의무화를 통보했다. 이 업체들은 올해 보안전담 조직과 정보보호 관리체계를 수립해야 한다. 이를 통해 운영 투명성과 고객 신뢰도를 높여야 향후 제대로 운영할 수 있을 것”이라고 말했다.

이어 그는 “지난해 거래소 보안점검 결과 우선 시급히 구축해야 할 사항들은 첫째 망분리다. 망분리가 보안에 있어 만능은 아니지만 최소한의 안전장치가 될 수 있다. 주요 시스템을 인터넷망과 함께 사용하는 것은 위험하다. 지난해 점검에서 많은 거래소가 문제였다. 또 가상화폐를 보관하는 지갑 ‘월렛(Wallet)’에 대한 키관리가 중요하다. 키 관리가 제대로 안되면 해커에게 도난당할 수 있다. 월렛에 대한 키관리를 통해 이용자들의 자산을 안전하게 보호해야 한다. 마지막으로 이용자 보호 강화 부분이다. 아이디, 패스워드와 함께 OTP를 의무사용해야 한다. 은행도 의무적으로 적용하고 있는 이용자 보호조치에 준하는 수준을 맞춰야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★