반복되는 코인거래소 해킹…"ISMS 인증으론 부족…거래소 해킹 안전판 마련 촉구"

입력 2023-04-13 17:16

  • 작게보기

  • 기본크기

  • 크게보기

ISMS 인증에도 국내 가상자산 거래소 해킹 피해
보험 가입도 안 돼 해킹 시 투자자 자산 피해 우려
외부 수탁, 콜드월렛 비중 확대 등 보안 강화 필요

(사진=게티이미지뱅크)

가상자산 거래소 코인을 노린 해킹 범죄가 잇따르자, 사후 조치와 별개로 근본적인 대책 마련이 요구되고 있다. 가상자산 거래소가 정보보호관리체계(ISMS) 인증을 받고 보안 기준을 마련했지만, 최근 발생한 지닥 사례로 규제를 강화해야 한다는 주장이다.

13일 가상자산 업계에 따르면 지닥이 해킹 당한 고객 자산 전액 보전을 발표하며 사후 조치에 나섰다. 지닥 측은 “회원의 일체 자산은 100% 전액 충당된다”며 “다만 입출금 서비스의 충분한 안전성 확보를 위해 약 2주 정도 소요될 것”이라고 밝혔다. 그러나 시장에서는 투자자들의 불안은 커지고 있는 상황에서 해킹 방지를 위한 추가 대책 마련이 필요하다는 지적이다.

업계 관계자는 “가상자산 거래소 보안 영역은 한국인터넷진흥원(KISA)에서 ISMS 인증을 받으면 일단 넘어가는 분위기”라며 “거래소 해킹 문제가 끊이지 않기 때문에 콜드월렛 비중 강화 혹은 거래소 물량 외부업체 수탁 등 예방대책이 필요할 것”이라고 지적했다.

국내 대형 거래소로 일컬어지는 업비트와 빗썸도 해킹 이력이 있다. 특히, 업비트는 2019년 ‘핫월렛(Hot wallet)’에 보관 중이던 580억 원 상당의 가상자산을 탈취당했다. 당시 업비트는 회사 자산으로 피해 금액을 충당했다. 거래소는 온라인 지갑 형태인 핫월렛과 오프라인 지갑 형태인 하드월렛에 물량을 보관한다. 핫월렛은 온라인과 연결된 가상자산 지갑이다. 거래소 해킹이 발생한 대부분의 사례가 핫월렛인 만큼 보안에 취약하다고 볼 수 있다. 다만, 지갑과 인터넷이 연결돼 있기 때문에 입출금이 자유롭다는 점에서 거래소는 일반적으로 핫월렛 보관을 선호한다.

규제당국은 핫월렛과 ‘콜드월렛(Cold Wallet) 비중을 7:3으로 권고하고 있지만, 업계는 보안에 강한 콜드월렛 비중을 높이거나 외부업체 수탁 등의 추가 방안도 고려해야 한다는 입장이다. 콜드월렛은 온라인에 연결되지 않은 오프라인 상태의 지갑이다. 보안성이 높은 만큼 자산을 보호하는 데 사용되지만, 거래 효율성이 낮다.

싱가포르의 경우 싱가포르개발은행(DBS)은 2021년 ‘DBS 디지털 거래소’를 설립하고 가상자산 교환, 수탁 등의 서비스를 제공하고 있다. 업계 관계자는 “은행은 예전부터 예치 업무를 주로 해왔기 때문에 가상자산 예치도 안전하게 수행할 수 있다”라며 “많은 물량을 보유 중인 거래소들이 은행에 물량을 맡길 경우 안정성과 신뢰성을 확보 할수 있을 것”이라고 했다.

지난해 7월 금융규제혁신회의에서는 ‘금융회사의 부수업무 규제완화’, ‘금융회사의 가상자산 관련업무 영위 허용 검토’를 논의하기도 했다. 현재 가상자산 사업자는 해킹 보험 인프라도 없는 상황이다. 급격한 시세 변동으로 인한 보험료 책정이 어렵고, 데이터도 부족하다는 것이 업계 의견이다.

거래소가 해킹을 당할 경우 투자자 보호도 어렵다. 업비트의 경우 탈취당한 자산을 충당할 만큼 자산이 있었기 때문에 투자자 보호가 가능했다. 충당 비용이 부족한 중소형 거래소가 해킹당할 경우 투자금 보전을 장담하기 어렵다. 코인레일은 2018년 450억원 상당의 가상자산을 탈취당했다, 코인레일은 자체 발행 가상자산으로 보상 계획을 세웠지만, 고객 예치자산을 반환하지 못하고 파산했다. 업계 관계자는 “가상자산 사업자는 ISMS 인증만으로 해킹을 안심할 수 있는 상황이 아니다”라며 “가상자산 사업자 보안 강화를 위한 논의가 필요할 때”라고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소