정부가 가상화폐 거래소를 대상으로 한 사이버침해사고 예방을 위한 정보보호 강화 조치에 나선다.

최근 가상화폐를 노린 사이버공격이 두드러지게 증가하고 있는 가운데 가상화폐 거래소 ‘유빗’이 해킹으로 파산하는 초유의 사태가 발생했다. 이로 인해 ‘유빗’ 이용자들의 금전 손실이 예상되고 있다. <관련기사-가상화폐 거래소 ‘유빗’, 해킹으로 파산 절차…국내 첫 사례>

정부는 지난 13일 범부처 차원으로 ‘가상통화 관련 긴급대책’을 마련한 데 이어 20일 후속조치를 추진키로 했다. 그 일환으로 과학기술정보통신부와 방송통신위원회는 가상화폐(가상통화) 거래소(이하 거래소) 관련사고 예방을 위한 조치를 강화한다고 밝혔다.

이 후속조치에는 거래소에 대한 주기적 보안점검 실시, 정보보호관리체계(ISMS) 인증 의무화, 거래소 보안 강화 지원, 사업자 책임 및 이용자 피해구제 강화 등이 포함돼 있다.

우선, 올해 9월부터 거래소를 대상으로 실시한 사이버보안 및 개인정보보호체계 점검을 내년에도 추진한다.

정부는 올해 10개 거래소를 대상으로 점검을 실시해 보안취약점과 개인정보보호 조치 미흡사항에 대해 조치를 권고했다.

과기정통부는 보안취약점 개선조치가 이뤄졌는지 확인하는 한편, 신규 발굴된 취약점 개선을 권고하는 한편, 관련 기술지원을 실시한다.

방통위는 올해 점검결과, 조사대상 사업자 대부분이 접근 통제장치 설치·운영, 개인정보의 암호화 조치 등 기술적 보호조치가 미흡한 것으로 나타남에 따라 2018년 1월 중 법규 위반 사항에 대해 과태료 등 행정처분을 엄격히 실시할 예정이다.

과기정통부는 일정 규모 이상(매출액 100억원 이상, 일일평균 방문자수 100만이상)의 거래소는 2018년부터 정보보호관리체계(ISMS) 인증을 의무화하는 등 거래소 정보보호 수준을 향상시킬 수 있도록 추진한다.

이미 이날 빗썸, 코인원, 코빗, 업비트 등 4개 거래소에 대해 2018년 ISMS 인증 의무대상임을 통보하고, 거래소 보안 강화의 시급성 등을 감안해 조속히 인증을 이행해 줄 것을 당부했다.


아울러 거래소를 대상으로 ‘ISMS 인증 설명회’를 개최해 인증 의무 대상에 해당하지 않은 거래소도 자발적으로 정보보호 수준 향상을 위해 ISMS 인증을 받을 수 있도록 독려해 나갈 계획이다.

방통위는 ISMS 인증 의무대상에서 제외된 중소규모 거래소를 대상으로 ‘개인정보보호 관리체계(PIMS)’, ‘개인정보보호 인증마크(ePRIVACY Mark)’ 획득을 지원해 개인정보보호 수준을 제고해 나갈 방침이다.

인증 이후에는 매년 사후점검을 실시, 거래소 정보보호 활동이 지속적으로 강화될 수 있도록 관리한다.

또한 과기정통부는 정보보호대책 마련, 보안취약점 분석·개선 등의 역할을 수행하는 정보보호최고책임자(CISO)를 거래소별로 지정한 후 과기정통부에 신고토록 할 계획이다. 이를 통해 거래소 CISO와 핫라인을 구축해, 최근 발생하는 해킹 위협과 대응 방향 등을 신속 공유해 유사 피해를 입지 않도록 지원한다.

민간기업과 공동으로 실시하는 ‘사이버 보안 모의훈련’에 거래소들의 참여도 유도한다. 모의해킹을 통한 보안취약점 사전 조치, 해킹 이메일 유포 및 디도스 공격 대응체계 점검 등을 실시해 사이버 침해사고 발생에 대비토록 할 계획이다.

한국인터넷진흥원(KISA) 종합상황실에서는 거래소 홈페이지를 대상으로 악성코드 유포, 디도스 공격 등을 모니터링하고 사고 감지시 신속한 대응을 지원해 나가기로 했다.

방통위는 사업자 책임 강화를 위해 개인정보 유출 등 지속적 법규위반 사업자에 대해 ‘서비스 임시 중지조치’ 제도를 도입한다. 이는 정보시스템을 구축 또는 관리·운영하는 호스팅 및 앱마켓 사업자 등에게 서비스 임시중단 조치 명령이 가능하도록 하는 제도다. 또 개인정보 유출시 과징금 부과기준도 상향해 법규 집행력도 강화한다.

정부는 이용자 피해구제 강화를 위한 조치도 시행한다. 사업자의 보호조치 미흡으로 인해 개인정보 유출시 이용자의 피해를 효율적으로 구제하기 위한 ‘집단소송제도’, ‘손해배상 보험·공제 가입 의무화’ 도입을 검토키로 했다.

한편, 과기정통부와 경찰청은 19일 ‘유빗’에서 발생한 해킹사고 현장조사를 실시하고 사고원인과 해킹기법 분석, 해커 수사 등에 주력하고 있다.

과기정통부와 방통위는 “거래소 정보보호 강화를 위해 지속적인 보안점검을 실시해 문제점을 개선하고, 법 위반 사항에 대해서는 엄정하게 대처할 것”이라며 “가상통화 해킹, 개인정보 유출 등 이용자 피해를 예방하기 위해 거래소의 사이버보안, 개인정보보호 대응 역량이 강화될 수 있도록 적극 지원할 것”이라고 밝혔다.


글. 바이라인네트워크
<이유지 기자>yjlee@byline.network