가상자산 보안 경보 재점화…업계·국회, 대책 마련 분주

(챗GPT)

업비트가 6년 만에 대규모 해킹 사건에 연루되면서 가상자산 거래소의 보안 체계 전반에 대한 우려가 다시 고조되고 있다. 각종 보안 인증과 투자에도 불구하고 취약성이 노출되자 재발 방지 대책과 제도 보완 필요성이 동시에 떠오르고 있다.

30일 가상자산 업계에 따르면 업비트는 일시 중단했던 입출금 서비스를 순차적으로 재개하고 있다. 최근 발생한 445억 원 규모의 해킹 사건 이후 긴급 점검을 거쳐 입출금 안전성이 확인된 네트워크부터 정상 서비스를 개시 중인 것이다. 더불어 보안 취약점 개선 및 지갑 시스템 점검에 따라 모든 디지털 자산 입금 주소 신규 발급을 권고했다.

공지에 따르면 업비트는 비정상적인 공격을 포착한 27일 오전 4시 42분 즉시 관련 조처를 하고 한국인터넷진흥원(KISA)과 금융 당국에 신고했다. 같은 날 당국과 경찰청도 현장 조사에 착수한 것으로 전해졌다. 이번 공격 배후로는 북한 정찰총국 산하 해킹 조직인 ‘라자루스’가 거론되고 있다.

두나무는 높은 수준의 보안 체계를 유지해왔음에도 해킹 위험에 노출되면서 충격을 주고 있다. 정보보호 공시에 따르면 두나무의 6월 기준 정보기술 부문 투자액은 1542억 원, 정보보호 투자액은 전년 대비 56억 원 증가한 147억 원으로 나타났다. 주요 투자 분야는 정보보안 이상 징후 모니터링 체계 고도화다. 회사는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)과 여러 종류의 국제표준화기구(ISO) 정보보안 인증도 확보하고 있다.

업계에서는 이번 사고가 국내 거래소 전반에 직·간접적 충격을 줄 것으로 보고 있다. 한 거래소 관계자는 “1위 사업자가 해킹 당했다는 사실 자체가 다른 거래소의 신뢰에도 영향을 미칠 수 있다”라며 “피해 금액이 이미 한 차례 수정된 바 있는데, 향후 조사 결과에 따라 재조정 가능성도 있어 신뢰에 영향을 줄 수 있다”라고 지적했다.

전문가들은 해킹 재발 방지를 위해 취약 지점에 대한 철저한 원인 분석과 체계적인 보완 대책 마련이 필요하다고 강조한다. 염흥렬 순천향대 교수는 "가장 중요한 것은 가상자산 시스템 전반의 취약점 원인 분석"이라며 " 핫월렛, 네트워크, 서버 등의 보안 체계를 모두 포괄하는 보완책을 마련해야 한다"고 강조했다. 그는 "기업들이 이상 징후를 즉시 파악할 수 있도록 모니터링 체계를 강화하고 지속적인 취약점 관리가 필수적"이라고 역설했다.

김형중 국민대 교수는 "멀티시그(여러 명이 개인 키로 서명해야만 거래가 유효하게 되는 보안) 적용 여부, 개인 키 유출이 내부 부주의인지 시스템 구조적 문제인지 등 사실 관계를 정확히 규명하는 것이 중요하다"라며 "해킹 사건의 성격과 책임 소재를 규명하고, 향후 보안 강화 조치를 결정하는 데 핵심적인 정보로 활용해야 하기 때문"이라고 설명했다. 업비트는 28일 공지를 통해 보안 취약점을 발견해 조치했다고 밝힌 바 있다.

한편, 현재 발의된 가상자산 관련 법안도 보안과 피해 보상 의무를 강화하는 내용을 담고 있다. 정보보호 최고책임자(CISO) 지정 의무화, 금융위원회 기준에 따른 정보기술시설 취약점 분석·평가 및 보완 계획 수립, 침해사고 시 배상 책임 및 금융위 통지 의무 등이 그 골자다. 아울러 보험·공제 가입 또는 준비금 적립 등 보상 조치도 의무화하도록 하고 있다.

금융감독원 전자공시시스템(DART)에 따르면 3분기 기준 업비트의 준비금 적립액은 483억 원, 예정액은 187억 원이다. 두나무는 “비정상적 출금으로 발생한 자산 유출 규모는 즉시 파악했으며, 회원 자산에는 어떠한 피해도 없도록 전액 회사 자산으로 충당하겠다”라고 전했다.