한국블록체인협회가 지난 11일 1차 자율규제 심사결과를 발표하고, 12개 암호화폐 거래소(회원사)에 ‘적격’ 판정을 내렸다.

빗썸, 업비트, 후오비코리아, 한국디지털거래소(DEXKO), 스트리미(고팍스), 네오프레임, 스트리미, 오케이코인코리아, 코빗, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코)가 적격 판정을 받았다.

이 결과가 발표되자 언론에서는 여러 비판의 목소리가 나왔다. 최근 해킹사고를 낸 빗썸이 포함돼 있는데다(심사는 해킹사고 이전에 이뤄졌고, 문제가 된 분야는 점검 대상이 아니었다고 한다), 협회가 이 결과를 발표하기 위해 가진 기자간담회에서 거래소별 심사결과(수치)를 포함해 관련내용을 구체적으로 공개하지 않았기 때문이다.

뿐만 아니라 심사를 거부한 거래소는 제외된 점, 현장 실사가 아닌 서면과 인터뷰를 통한 체크리스트 심사 방식 등을 놓고 실효성이 떨어진 부실심사라는 지적이 제기됐다.

암호화폐 투자 열풍이 불며 많은 이용자들이 거래소로 몰려갔지만, 거래소 투명성이 떨어지고 해킹 사고가 이어지며 많은 이용자들이 피해를 입는 사태가 계속됐다.

이용자들의 불안이 커지고 거래소에 대한 신뢰성은 급격히 떨어졌다. 이에 따라 블록체인협회는 지난해 12월 자율규제위원회(위원장 전하진)를 구성해 건전하고 안전한 암호화폐 거래소 생태계 구축, 이용자 보호 방안 마련을 목표로 자율규제안을 발표했다.

자율규제는 암호화폐 이용자 보호 등에 관한 규정, 암호화폐 취급업자의 금전 및 암호화폐 보관 및 관리 규정, 자금세탁행위방지에 관한 규정, 시스템 안정성 및 정보보호에 관한 규정 등으로 구성돼 있다.

자율규제위원회에 거래소 보안수준을 높이기 위해 정보보호위원회도 구성, 김용대 KAIST 교수를 비롯해 국내에서 내로라하는 보안전문가들이 위원으로 대거 합류했다.

자율규제를 바탕으로 재무정보 체계, 거래소 이용자에 대한 기본 정보·투자 정보 제공체계 등 일반 심사와 보안성 심사를 구분해 투트랙으로 이뤄진 첫 심사결과가 이번에 발표됐다. 협회 회원사 가운데 준비가 된 12곳만을 대상으로 지난 5월부터 진행된 결과다.

보안성 심사는 5월 8일까지 제출된 심사자료를 바탕으로 인터뷰 심사를 진행했다. 회원사의 책임있는 보안담당자를 대상으로 6월 2일부터 7월 7일까지 총 4차례의 인터뷰 심사가 진행됐다.

대상 12개 거래소 중 9곳은 인터뷰 심사 과정에서 미흡한 것으로 나타나 재심을 받아 기준을 통과했다고 설명했다.

먼저 협회는 “이번 심사가 특히 이용자 보호 부문을 강화할 수 있는 계기가 됐다”고 평가하며 “여러 회원사들은 자체적으로 협회 자율규제 기준 이상의 목표 달성을 위해 노력을 기울일 것”이라고 말했다.

보안성 심사 결과를 놓고서는 “전체 거래소의 보안성은 전반적으로 준수한 편이나, 각 개별 거래소들간의 보안 수준에는 편차가 있다”며 “특정 영역(WAS 등 외부 서비스 구간)에 치중된 점검을 수행하거나 단순 스크립트를 이용한 점검 등의 취약점 점검 절차, 범위 설정 및 방법론상 미흡한 부분이 발견됐다”고 설명했다.

추후 취약점 점검시 외부 서비스 구간 뿐만 아니라 내부 주요 자산을 보호하기 위한 보안 솔루션과 내부 업무용 주요 서버 등으로 점검대상을 확대해 보다 면밀하고 강도 높은 점검이 필요하다는 의견도 내놨다.

협회는 “본 심사를 통과했다는 것은 기본적인 보안성을 유지하기 위한 최소 조건을 만족했음을 의미하며 강건한 보안 아키텍처를 설계했음을 담보할 수는 없다”며 “각 회원사는 이같은 사실을 인지하고 보안성 향상을 위한 투자를 지속해야 할 것이고, 새로운 공격 및 방어 기술을 지속적으로 연구해 거래소와 고객의 자산을 보호하기 위한 방법을 점진적으로 고도화해 나가야 할 것”이라고 강조했다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

또한 “심사자료와 각 거래소 자체 진단 결과, 인터뷰를 기반으로 평가한 것이므로 실제 현장의 보안성을 높이기 위한 노력도 필요할 것”이라고 밝혔다.

다양한 한계가 노출됐지만 ‘자율규제’라는 말 그대로 거래소들이 모인 협회가 스스로 거래소 이용자를 보호하고, 보안성을 높이기 위한 노력을 자발적으로 벌인 것은 긍정적으로 평가할 수 있다.

더 중요한 것은 이번 한 번의 이벤트에 그치지 말아야 한다는 점이다. 협회와 심사에 참가한 거래소들 모두 지속적인 개선 노력을 벌여야 한다. 더불어 이번에 참가하지 않은 거래소들도 자율규제 활동에 참여시켜야 한다.

심사를 통과한 거래소들이 자칫 ‘적격’ 판정을 받았다는 것을 끝이라고(충분하다고) 생각하거나 이를 홍보와 마케팅에 활용하기 위한 수단으로 인지해서는 안 될 것이다.

오히려 거래소를 설립할 때부터 완비했어야 하는 ‘기본적인 보안성을 유지하기 위한 최소 조건’을 이제야 갖췄다는 점을 각성하고, 계속해서 이용자 보호·보안 수준을 높이기 위한 노력을 벌여나가겠다는 의지와 실천을 다짐하는 계기가 됐으면 한다.

협회 정보보호위원회는 보다 발전된 거래소 보안을 위해 거래소 설계, 구현, 운영에 대한 베스트 프랙티스, 기존 사고 사례 분석, 취약점 분석의 방향 등 네거티브 규제를 위한 구체적인 방향에 대해 거래소와 정보보호 업체를 대상으로 거래소 보안 컨퍼런스 개최를 논의하고 있다.

아울러 향후 암호화폐 거래소의 안정성과 투명성 제고 및 이용자 보호를 위한 ▲거래소 내 이상매매거래 탐지시스템 ▲의심거래자 입출금 차단 시스템 ▲해킹 발생시 상호비상연락망을 통한 공동대응 체계 ▲암호화폐 거래소 단체보험 가입 등을 검토해 이용자를 보호할 수 있는 사전예방 및 사후대책을 준비할 예정이라고 했다.

정보보호위원회는 위원장인 김용대 KAIST 교수를 비롯해 김승주 고려대 정보보호대학원 교수, 김형식 성균관대 교수, 이승진 그레이해쉬 대표, 박세준 티오리(Theori) 대표, 김혁준 나루시큐리티 대표, 김진국 플레인비트 대표, 김수형 전자통신연구원(ETRI) 팀장이 위원으로 참여하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

* 이 글의 내용 일부는 바이라인네트워크가 발간하는 주간 프리미엄 트렌드 리포트 2018년 7월 16일 발간호에 실렸습니다.