빗썸도 국가공인보안인증… 양극화되는 거래소 보안

의무대상 거래소 빅4 ISMS 인증

소비자 쏠림으로 해커표적될수도

대다수 거래소 인증 유도책 필요

국내 주요 가상화폐거래소가 모두 ISMS(정보보호관리체계) 획득을 완료했다. ISMS를 기준으로 국내 거래소 간 보안이 더 양극화되며 사용자 쏠림 현상이 나타날 전망이다.

1일 업계에 따르면, 국내 4대 가상화폐거래소 중 빗썸과 코인원이 KISA(한국인터넷진흥원)로 부터 지난달 27일 ISMS 인증을 획득했다. 이로써 정부로부터 ISMS 의무 대상이 된 업비트, 코빗, 코인원, 빗썸 모두 인증을 획득하게 됐다.  

이에 앞서 의무 대상이 아닌 고팍스도 지난달 10일 ISMS를 획득 한 바 있다. ISMS는 정부가 기업에서 운영 중인 정보보호 시스템의 적합성과 공신력을 평가해 인증하는 제도다. 이 인증을 획득한 기업의 서비스를 이용하는 소비자들은 보다 안정적인 개인정보 보호를 받을 수 있게 된다.  

지난해 정부는 매출액 100억원 이상, 3개월간 일일 평균 방문자 100만명 이상인 가상화폐거래소에 대해 ISMS 인증을 의무적으로 받도록 했다. 정부가 주요 거래소를 대상으로 ISMS를 의무화 한 것은 투자자들의 자금이 쏠리며 해커들의 표적이 되고 있기 때문이다. 

방통위와 경찰청에 따르면 최근 3년간 가상통화 거래소에 모두 7건의 해킹사건이 발생해 총 1288억원 상당의 가상화폐가 부정인출 됐다. 실제 지난해 6월 빗썸과 코인레일이 해킹 피해를 입은 바 있다.  

사고를 당한 거래소 뿐 아니라 당시 업비트, 코빗, 코인원 등도 보안에 취약한 것으로 조사됐다.  

이에 ISMS 인증을 통한 보안 시스템 고도화로 국내 주요 거래소 모두 보안성이 향상됐다는 평가다. 비록 ISMS를 받았다고 해킹에 100% 안전한 것은 아니지만, 사용자들에 보안에 대한 최소한의 신뢰성을 줄 수 있는 징표기 때문이다. 

하지만 여전히 100여개로 추산되는 국내 대다수 거래소의 보안은 취약하다는 게 보안 전문가들의 지적이다. KISA에 따르면, 실제ISMS 의무 대상이 아닌 거래소 중 이를 획득하려는 거래소는 단 두 곳에 불과한 실정이다. 특히 거래소 등 블록체인 관련 회원사를 둔 한국블록체인협회에서 자율규제를 진행 중이지만, 실효성이 떨어진다는 비판이다. 

보안업계 관계자는 "국내 거래소 간 보안수준이 더욱 양극화, 사용자 쏠림 현상이 더 심화되며 오히려 해커들의 목표가 주요 거래소들로 집중돼 대형 보안 사고가 터질 수 있다"며 "ISMS 의무 대상이 아닌 거래소들까지 인증을 획득하거나 보안 수준을 높일 수 있게 하는 유도책이 필요하다"고 말했다.