김승주 위원장 “빗썸 보안, 제1금융권 수준으로 올릴 것”
디지털자산거래소 빗썸이 외부 전문가들과 함께 정보보안 체계를 전면적으로 점검하기 시작했다. 단순한 자문기구를 두는 차원이 아니라, 보안을 경영 의사결정의 핵심 거버넌스(지배구조) 영역으로 끌어올리겠다는 판단에서다.
올해 1월 출범한 ‘정보보호 자문위원회’는 거래소 보안 정책과 대응 전략을 외부 전문가의 시각에서 상시 점검하는 역할을 맡는다. 내부 판단에만 의존하지 않고 객관적인 검증 체계를 만들겠다는 취지다. 공동위원장은 이재원 빗썸 대표와 김승주 고려대학교 교수가 맡았다. 이어 강민석 카이스트 교수, 손기욱 서울과학기술대학교 교수, 강은성 서울여자대학교 교수가 자문위원으로 참여한다.
위원회가 내세운 목표는 단순히 거래소 가운데 가장 높은 보안 수준을 달성하는 것이 아니다. 은행 등 제1금융권, 나아가 그 이상의 보안 수준을 갖추는 것이 목표다. 김승주 위원장을 만나 위원회 출범 배경과 빗썸의 보안 전략 전반에 대한 이야기를 들어봤다.
빗썸의 정보보호 자문위원회가 출범된 배경은
제1금융권이랑 똑같이 디지털자산 업계에서도 정보보호가 굉장히 중요한 이슈로 떠올랐다. 최근 거래소 해킹 시도는 계속 증가하고 있다. 디지털자산의 특성상 모든 게 전산으로 이뤄져 유출이 되면 회수한다는 게 무척 어렵다. 기업이 보험 등으로 배상해 줄 수는 있지만 금전적 손실이 따른다. 기업 이미지가 나빠지기에 정보 보호에 신경을 쓸 수밖에 없다. 오는 9월 해킹 등으로 개인정보 유출 사고에 대해 기업 매출의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 시행을 앞두고 있다. 신용정보법, 정보통신망법 등 다른 제도들도 이에 맞춰서 과징금 체계가 바뀔 것이다. 제재가 전반적으로 강해지는 것이다.
거래소 대표가 공동위원장에 직접 참여한다는 건
다른 거래소나 금융권의 자문위원회보다는 더 힘이 있지 않을까 생각한다. 주요 금융권의 보안 자문을 많이 맡고 있지만, 대표가 직접 공동위원장 하는 건 거의 보지 못했다. 대통령이 위원장인 위원회와 장관이 맡는 위원회와 차이가 있을 텐데 이 경우과 같지 않을까 싶다.
가장 큰 장점은 결정을 빠르게 내릴 수 있다는 것이다. 최근 위원회에서 양자보안 강화에 대해 대표에게 건의했고, 바로 결정한 일이 있었다. 이를 통해 빗썸이 보안솔루션 기업 아톤과 양해각서(MOU)를 체결했다. 국내 디지털자산거래소 중 양자내성암호(PQC) 보안 솔루션 상용 도입 결정은 최초다. 보통은 MOU까지는 체결하지는 않고 솔루션 도입에 그치곤 한다. 위원회에서 고객 안심 차원에서 ‘양자내성암호 보안’ 이라는 키워드를 빗썸이 선점했으면 좋겠다는 의견을 냈다. 양자 컴퓨팅 시대에 앞서가는 거래소가 됐으면 좋겠다는 의미다.
양자보안 시대, 거래소의 고민은
양자컴퓨터가 나오면 비트코인이 다 해독된다는 이야기가 돌지 않나. 여러 경우의 수를 동시에 계산할 수 있어 기존 암호체계에 위협이 될 수 있다. 주요 디지털자산들이 현재 시스템을 업그레이드 안 하고 그대로 놔두면 해독될 수 있다. 인터넷뱅킹 시스템도 마찬가지다. 디지털자산은 양자컴퓨터 시대에 대비가 필요한 구조이고 비트코인과 이더리움 등 메이저 코인들은 어떻게 대응할지 계획하고 있다. 거래소들도 마찬가지로 양자보안에 대응해야 한다. 거래소 로그인 등 운영 시스템을 양자컴퓨터에도 견딜 수준으로 업그레이드 시키는 것이다.
현재 위원회 구성은 어떻게 되나
위원회는 전문가 위주로 분야가 안 겹쳐야 한다. 위원회 위원 선정에 있어서는 직접 참여했다. 강민석 교수는 블록체인 네트워크 자체에서 생길 수 있는 여러 가지 위협들 관련해 양질의 논문을 많이 썼다. 거래소에서 코인을 잘 다루고 안전하게 거래하는 것도 중요하지만 블록체인 네트워크 자체의 위협에 대해서 기술적 조언을 할 사람이 필요하다.
손기욱 교수는 과학기술정보통신부 산하 국가보안기술연구소에 있었는데 북한 해킹 관련 업무를 했다. 최근 북한발 해킹을 무시할 수 없는데 가장 전문가라고 생각한다. 강은성 교수는 여러 기업에서 최고보안책임자(CISO) 활동을 했다. 빗썸에도 CISO가 있지만 다른 IT 기업에서 CISO를 맡았던 경험이 있는 분이 합류하면 보다 전문적인 조언을 할 수 있겠다고 생각했다. 추후 법률 전문가도 합류할 예정이다.
북한발 해킹 위협 수준을 어떻게 평가하나
거래소뿐만이 아니고 우리나라 전체에 위협이 되고 있다. 정부는 북한을 포함해서 여러 해킹에 대한 대응을 잘 하고 있다고 생각했었다. 특히 북한 해킹은 기본적으로 국가정보원을 중심으로 해서 정부가 직접 막아내는 영역이니까 그러했다.
그런데 지난해 범정부 업무시스템인 ‘온나라시스템’ 해킹이 있었다. 뚫렸다는 사실도 모르고 있다가 외국 해커들이 알려줘서 알게 된 거다. 온나라 시스템은 중국 해커들이 한 것으로 알려져 있는 게 정설이다. 중요한 건 북한이든 중국이든 아무튼 우리는 뚫렸는데 모르고 있었다는 거다.
우리나라 보안 수준은 국가가 배후에 있는 엘리트급 해커들은 못 막는 상황이다. 여태까지 잘 방어한다고 착각하고 있었을 뿐이다. 북한뿐만이 아니고 국가 배후 해킹그룹에 대한 대응책을 세워야 된다. 물론 거래소도 해당이다.
위원회에서 가장 주목하고 있는 이슈는
빗썸의 목표는 보안 수준을 거래소 중에서 최고로 만드는 것이 아니라 제1금융권 수준으로 맞추는 것이다. 그 이상 수준의 보안을 갖추는 것도 목표다. 남은 과제는 외부 솔루션을 도입해 보안 수준을 끌어올리는 것과, 해당 수준이 제1금융권 수준에 해당한다는 점을 입증하는 것이다. 어떤 솔루션을 어떻게 도입할지에 대한 계획은 이미 마련돼 있다. 미국 등 해외에는 참고할 만한 클라우드 기반 기업과 보안 솔루션이 많기 때문이다.
이후에는 제1금융권의 폐쇄망 중심 망분리 환경과 비교해도 보안 수준이 떨어지지 않는다는 점을 정부에 입증해야 하는 과제가 남는다. 현재로서는 이를 공식적으로 입증할 수 있는 인증 제도가 있는 것은 아니기 때문에 해외 보안 인증 제도나 전문가 평가 등을 참고하고, 정부를 설득하는 과정도 필요하다.
또한 최근에는 망분리 규제 개선 논의도 진행되고 있다. 이른바 국가망보안체계(N2SF)는 미국 등 선진국에서 사용하는 망분리 체계를 참고해 만든 클라우드 환경 중심의 보안 체계다. 인공지능과 클라우드 환경에서는 기존 물리적 망분리 방식만으로는 대응하기 어렵다는 문제의식에서 출발했다.
정부도 국가 인공지능전략위원회 산하 ‘AI인프라 거버넌스 혁신 태스크포스(TF)’ 통해 N2SF를 기반으로 민간 클라우드 활용을 확대하는 방향을 발표한 바 있다. 이는 망분리를 없애는 것이 아니라 클라우드 환경에 맞는 새로운 방식의 망분리 체계로 전환하자는 취지다.
거래소 역시 클라우드 기반 사업자인 만큼 이러한 환경 변화에 맞는 보안 체계를 갖춰야 한다. 클라우드를 사용하더라도 충분한 투자와 전문 인력 확보를 통해 제1금융권과 동등한 수준의 보안을 구현할 수 있다. 결국 해외 클라우드 기반 기업들의 보안 수준을 기준으로 체계를 구축하면 N2SF 가이드라인에도 부합하는 수준을 갖출 수 있을 것이라고 본다.
최근 벌어진 빗썸 오지급 사안도 위원회에서 다루나
사이버 보안과 관련한 자문을 하고 있지만 오지급 사안은 위원회와 직접 관련된 사항은 아니다. 오지급 원인은 휴먼 에러로 보고 있다. 조직 차원에서 이를 막을 수 있는 장치와 대응 체계가 부족했던 점은 분명한 문제이며, 재발 방지를 위한 시스템 보완과 내부 통제가 필요한 사안이다. 그 부분은 빗썸의 책임이다.
다만 배상 의지와 여력이 있는 상황이라면 내부 시스템을 개선하는 방향으로 해결할 문제라고 본다. 제재 수위는 과도해서는 안 되며, 과거 금융권 사례를 넘어서는 수준의 처벌로 이어지는 것은 바람직하지 않다. 디지털자산거래소라는 이유만으로 제1금융권보다 높은 수준의 제재를 적용하는 것은 형평성 측면에서 맞지 않다고 생각한다.
글. 바이라인네트워크
<이수민 기자>Lsm@byline.network
