18일 전자신문이 국내 암호화폐거래소 대상 ISMS 인증 여부를 조사한 결과, 인증을 획득한 거래소는 단 한곳도 없다. 일부 거래소가 인증을 준비 중이지만, 수차례 해킹 사고가 발생한 이후라 대응이 늦었다는 분석이다. ISMS는 대내·외 위협으로부터 정보 유출 피해를 사전에 예방하도록 기업 스스로 수립·운영하는 정보보호 관리체계로, 정부가 인증하는 제도다.
과학기술정보통신부는 지난해 12월 범부처 암호화폐 긴급회의 후속조치로 일정 규모 이상(매출액 100억원 이상, 일일평균 방문자 수 100만명 이상) 거래소는 올해 내 ISMS 인증을 받도록 했다. 빗썸, 코인원, 코빗, 업비트 등 4개 거래소가 ISMS 인증 의무 대상에 해당된다. 정부는 거래소 보안 강화 시급성 등을 감안해 조속한 인증 이행을 당부했다.
아직까지도 인증 의무 대상 4개 거래소 중 ISMS 인증을 신청한 기업은 없다. 빗썸은 지난달 ISMS 인증을 위해 신청서를 제출했지만 한국인터넷진흥원(KISA)은 서류 미비로 반려했다. 인증을 받기 위해 다시 준비 중이다.
업비트는 이달 말 ISMS인증 신청 예정이다. 코인원, 코빗도 신청 준비단계다. 과기정통부 관계자는 “지난달 5월 빗썸이 먼저 ISMS인증을 신청했으나 반려 돼 인증 심사기업은 고팍스가 유일하다”면서 “ISMS 신청 준비에 많은 시간이 소요될 뿐 아니라 심사에도 최장 3개월 이상 시간이 걸리는 만큼 당장 인증을 받기에는 어려움이 있다”고 설명했다.
보안업계 관계자는 “암호화폐 보안 컨설팅 등을 진행한 결과 4대 주요 거래소를 제외한 대부분 거래소는 기본적 망분리 조차 갖춰지지 않았다”면서 “망분리가 의무사항은 아니지만 연이은 해킹 사태가 터지면서 거래소 보안 강화가 절실하다”고 설명했다.
거래소는 그동안 한국블록체인협회 통해 자율 규제안을 만들었다. 협회는 금융권 수준으로 보안 체계를 갖추겠다고 공언했다. 금융권 5·5·7 규정(전체 인력 5%는 IT인력, IT인력 5%는 정보보호 인력, 전체 IT 예산 가운데 7%는 정보보호 예산 배정준수)을 준수하겠다는 선언도 했다.
협회 공언은 구호에 그쳤다. 협회 가입이 의무가 아니기 때문에 상당수 암호화폐거래소는 이 공언을 따르지 않았다. 기존 회원사조차 보안 체계를 갖추지 않았다.
정부 정책도 한계다. 암호화폐 규정이나 가이드라인 부재로 은행이나 증권처럼 보안을 강제하기 어렵다. 국회차원에서 암호화폐 거래소 보안 의무 강화, 피해자 보호 등 법안이 발의됐지만 국회를 통과하지 못했다. 김승주 고려대정보보호대학원 교수는 “암호화폐 거래소 보안 강화 등 강제성을 부여하기 위해 암호화폐를 규정해야 거래소 제재가 가능하다”면서 “자율 규제에 맡기고 개인 투자자에 위험성을 알릴 것인지 암화화폐를 법적 규제에 놓을 것인지 판단해야 한다”고 말했다.
정영일기자 jung01@etnews.com, 길재식 금융산업 전문기자 osolgil@etnews.com
저작권자 © PRESS9 무단전재 및 재배포 금지