[디지털데일리 최민지기자] 가상화폐(암호화폐) 거래소 해킹사건이 또다시 발생했다. 정부가 거래소에 대한 사이버보안 강화조치를 내놓은 지 약 6개월만이다.

지난 10일 오전 1시경 코인레일은 해킹공격을 받아 약 40분만에 총 400억원 규모의 암호화폐를 유출당했다. 정부의 경고와 조치안에도 반복되는 가상화폐 거래소 보안문제에 투자자들의 우려는 지속되고 있다.

유출된 가상화폐는 펀디엑스(NPXS), 애스톤(ATX), 엔퍼(NPER) 등 9종으로 개당 수십원 수준의 코인이지만, 유출규모는 400억원에 달하는 것으로 추산되고 있다. 코인레일이 보유한 코인의 30%에 달하는 수준이다.

◆KISA·경찰, 수사 착수…코인레일 “동결·보상 조치 중”=12일 코인레일은 공지를 통해 “유출된 코인 중 펀디엑스, 애스톤, 엔퍼는 동결 조치를 완료하고, 덴트는 덴트 프로젝트팀과 합의해 보상수량을 확보했다”고 밝혔다.

이어 “유출 확인된 코인의 80% 가량은 코인사 및 관련 거래소와 협의를 통해 동결, 회수, 보상 또는 그에 준하는 조치가 완료됐으며 나머지에 대해서는 수사기관, 관련 거래소, 코인 개발사와 함께 조사하고 있다”고 덧붙였다.

국내 거래소 해킹 피해 중 최대 규모로 꼽히는 이번 사건에 정부도 조사에 착수했다. 앞서, 해킹으로 파산한 거래소 유빗은 지난해 4월 55억원 규모의 암호화폐를 도난당한 후 야피존에서 유빗으로 이름을 바꾸고, 같은 해 12월 170억원 규모의 해킹을 또 당해 결국 파산신청을 한 바 있다.

빗썸도 사이버공격을 받아 3만건 이상의 개인정보를 탈취당해, 방송통신위원회(이하 방통위)로부터 과징금·과태료 제재를 받은 바 있다.

현재 한국인터넷진흥원(KISA), 과학기술정보통신부(이하 과기정통부), 경찰청은 코인레일 해킹사건을 조사하고 있다. KISA는 10일 당일부터 현장에 출동해 경찰청과 공동으로 사고원인을 분석 중이다. 개인정보 유출이 확인되지 않아 방통위는 아직 투입되지 않았다.

◆가상화폐 보안대책 발표 6개월만에 또 터진 해킹사고=지난해 12월 정부는 국무조정실장 주재로 열린 관계부처 차관회의를 통해 ‘가상통화 관련 긴급대책’을 마련한 바 있다.

이 중 과기정통부와 방통위는 해킹, 개인정보 유출 등 사이버 침해사고 피해 예방을 위한 조치안을 발표했다. 거래소에 대한 주기적 보안 점검, 정보보호관리체계(ISMS) 인증 의무화, 정보보호최고책임자(CISO) 지정 등 거래소 보안강화 지원, 사업자 책임 및 이용자 피해구제 강화 등을 내용에 담았다.

그러나 코인레일 해킹사건으로 봤을 때 알 수 있듯이 정부의 범부처 대책이 거래소 시장 전반에 퍼지지 못했다.

지난해 9월부터 거래소에 대해 사이버보안 및 개인정보보호 체계점검을 실시한 정부는 올해 3월 코인레일을 점검대상에 포함시켜 조사를 실시했다. 당시 보안상 미흡한 부분이 있어 이에 대한 개선 및 조치를 요구한 것으로 알려졌다. 이에 거래소 측이 제대로 대처하지 않았기 때문에 대규모 코인 유출사건으로 이어지게 된 것이다.

ISMS 인증 의무화 조치에도 코인레일은 6월 현재 ISMS 인증을 받지 않았다다. 법적으로 문제가 없다. 매출액 100억원 이상, 일일평균 방문자수 100만이상의 ISMS 인증 의무대상에 속하지 않기 때문이다. 거래소 중 코인원, 빗썸, 업비트, 코빗만이 의무대상이다. 이 외에 ISMS 인증을 받은 거래소는 한 곳도 없다.

◆투자자 불안 가속, 보안조치 의무화 필요하나?=반복되는 해킹사건과 보상문제에 직면한 투자자들의 불안은 점점 커지고 있다.

코인레일의 경우, 자금세탁방지 체계를 갖추지 못해 시중은행 2곳으로부터 올해 초 자금 입금 정지 조치를 당한 것으로 전해졌다. 공정거래위원회가 불공정 약관조항에 대해 시정권고하자 10여일전 손해배상조항을 아예 삭제했다는 주장도 나왔다.

이런 상황에서 발생한 해킹사고로 인해 투자자들은 보상을 받지 못할 까 전전긍긍하고 있다. 사실, 암호화폐는 추적이 어렵고 실제 거래가 진행됐다면 코인 회수 가능성은 더욱 낮아진다. 거래소 스스로 금전적 보상에 대한 의지가 없다면 보상은 불투명하다.

유빗의 경우도, 보상정책을 내놓았지만 지켜지지 않고 있다. 사이버보험에도 가입했지만 고지의무 위반으로 30억원상당의 보험금 지급도 거절당했다. 지난 1월 일본 암호화폐 거래소 코인체크는 해킹으로 뉴이코노미무브먼트(NEM) 코인을 유출 당해 580억엔(한화 약 5700억원)을 날렸다. 투자자에 대한 보상을 약속했지만, 추적에 실패하며 이를 지키지 못할 가능성이 커졌다.

거래소는 금융기관과 비교해 해킹으로 인한 금전적 보상이나 보안조치 의무가 미미하다. 국내 거래소의 경우 강제되는 사항은 ISMS뿐이며, 이마저도 대상에 포함되지 않은 곳들이 대부분이다. 이에 법적인 보안 의무가 필요하다는 의견도 제기된다.

이동근 KISA 침해사고분석단장은 “100% 해킹을 막을 수는 없겠지만, 큰 재화를 가지고 있는 곳이라면 법적으로 보안 의무가 있어야 한다”며 “제도적으로 강제하지 않으면 자율에 맡겨야 하는 상황에서 거래소 보안 의무 소홀이 해킹의 가장 큰 원인”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr