가상화폐 거래소에 대한 규제가 시급한 이유

2018년 6월 가상화폐 거래소 코인레일(Coinrail)의 해킹으로 인해 암호화폐가 탈취되는 사고가 발생했다. 코인레일이 보유한 암호화폐 지갑의 30% 정도에 해당하는 암호화폐 9종 36억 개 (약 400억 원)가 탈취되었다.

코인레일은 “유츌된 코인의 80%는 코인사 및 관련 거래소와 협의를 통해 동결, 회수, 보상 또는 그에 준하는 조치가 완료됐고, 전체 토큰 보유액의 70%는 안전하게 보관 중임을 확인하고, ‘콜드월렛’으로 이동해 보관하고 있다”고 공지했다.

설상가상으로 열흘도 안되어 빗썸에서 350억원 규모의 가상화폐 해킹 도난 사건이 다시 발생했다. 최근 유행하는 지능형 지속위협 (APT) 공격에서 주로 발생하는 이메일을 통한 악성코드로 개인정보를 유출하면서, 발생한 것으로 알려지고 있다.

심각한 것은 최근 발생한 전 세계 거래소의 대규모 해킹 사건의 대부분이 우리나라에서 일어나고 있다는 현실인데도, 별다른 후속조치가 없는 것이다.

2017년 12월 범정부 차원의 ‘가상통화 관련 긴급대책’이 나오고, 거래소에 대한 주기적 보안점검 실시, 정보보호관리체계(ISMS) 인증 의무화, 거래소 보안 강화 지원, 사업자 책임 및 이용자 피해구제 강화 등이 포함되었다.

매출액 100억원 이상이거나, 일일평균 방문자수 100만명 이상인 ISMS의무인증 대상에 해당하는 4개 거래소 (코인원, 빗썸, 업비트, 코빗) 중 아직 ISMS 인증을 받은 거래소는 없다.

해당 국내 대형 거래소가 ISMS 인증을 받기 위한 준비에 시간이 걸린다는 것은 그만큼 평소에 보안에 대한 투자가 미흡하다는 방증일 수밖에 없다.

향후 가상화폐 거래소의 보안강화를 위해서는 강력한 가이드라인과 보안규정이 적용될 필요가 있다.

첫째, 가상화폐 거래소의 보안요건 강화를 통한 보안문화 제고가 필요하다.  가상화폐 거래소는 가상화폐 거래량은 2017년 10월 한국의 3조원 가까이 될 정도로 엄청난 거래규모를 보여주고 있기 때문에, 거래계좌의 보안을 위해서는 금융회사와 유사한 수준의 보안시스템이 필요하다.

이메일 해킹은 기본적인 보안장비로 차단하기 어렵기 때문에, 보안의식을 제고하여 의심 이메일을 차단하거나 첨부파일을 열지 않도록 보안투자를 확대하고, 보안 의식교육을 강화하는 방법을 강구해야 한다.

이를 위해서는 거래소가 더 이상 통신판매업자로 분류되지않고, 금융권에 준하는 수준의 보안기준을 적용할 수 있도록, 신고제에서 기본자본금을 포함한 허가제나 인가제 도입이 검토되어야 한다.

둘째, 거래소의 보안취약성을 극복하기 위해, 탈중앙화된 P2P 거래소 기술도입이 필요하다. 탈중앙화를 추구하는 가상화폐의 취지와 달리, 가상화폐 거래소의 중앙화된 시스템으로 인한 해킹이 문제가 되고 있다.

이더리움의 창시자 비탈릭 부테린이 고문으로 있는 카이버 네트워크(Kyber Network)는 거래소 없는 거래를 지향하는 블록체인을 지향하고 있다. 탈중앙화된 P2P 거래기술인 라이트닝 네트워크와 아토믹 스왑 같은 기술발전에 힘써야 한다.

셋째, 기존 금융권의 전자금융사기에 대한 보험상품 의무화처럼 해킹사고 발생에 대비한 손해배상보험 가입 또는 보상방안수립을 의무화해야 한다. 규모가 영세한 가상화폐 거래소일수록 해킹 사고에 더욱 취약하므로, 이에 대한 보험서비스가 절실하다.

이를 위해서는 보험사에 해킹사고 발생율 평가 및 보상액 산정에 대한 전문인력을 양성하고, 가상화폐 해킹 리스크 평가체계를 수립해야 한다.  가상화폐 거래소의 해킹에 대한 보험상품 개발 장려와 가상화폐 해킹 피해 보험가입 의무화 정책이 반드시 뒷받침되어야 한다.