업계에서는 ISMS 인증을 받은 거래소가 계속 해킹을 당한다는 이유로 ISMS 무용론이 제기되기도 했다. 해킹 앞에 보안 인증도 무의미하다는 것이다. 그러나 이는 보안 인식이 낮은 국내에서 업체들이 최소한의 인증 수단인 ISMS를 ‘만능론’으로 만들었기 때문에 발생한 일이라는 지적이 나온다. ISMS가 보안의 기준이 돼서는 안 되며, 책임을 강화하는 방식으로 거래소가 최선의 보안을 만들어 갈 수 있도록 해야 한다는 주장이다.
◆ 국내 최고라던 업비트… 해킹엔 보안 인증도 무용지물?
지난달 27일, 업비트에서 이더리움 34만 2000개가 알 수 없는 지갑으로 빠져나가는 사건이 발생했다. 업비트는 해당 이더리움은 업비트 핫월렛에 보관 중이던 암호화폐로, 손실분에 대해서는 업비트 자체 자산으로 충당하겠다고 밝혔다.
업비트는 국내 최고 수준의 보안을 자랑하는 거래소다. ISMS 인증은 물론, 정보보안 국제 표준 ISO에서도 3개 부문을 동시에 인증하는 등 보안 관련 인증을 지속해왔다. 또한, 글로벌 암호화폐 마켓 평가 분석 기관 CER(Crypto Exchange Ranks)로부터 국내 보안 수준 1위, 전 세계 14위라는 좋은 평가를 받기도 했다. 실제 업비트는 거래소 보안을 위해 상당한 자금을 투입하고 있는 것으로 알려졌다.
국·내외에서 보안과 관련해 좋은 평가를 받던 업비트의 해킹 소식에 업계는 혼란에 빠졌다. 올해 초 국내 대형 거래소인 빗썸 해킹에 이어 업비트까지 해킹을 당하자, 중소형 거래소들의 해킹은 시간 문제라는 우려가 제기됐다. 특히 ISMS를 비롯한 보안 인증을 다수 가지고 있는 업비트가 뚫리자 ISMS 인증 무용론이 제기되기도 했다. 한 업계 관계자는 “ISMS 인증이 있는 곳도 쉽게 뚫리는 상황인데 ISMS가 필요한지 의문”이라면서 “ISMS를 믿을 수 있는 것인지 의심이 드는 상황”이라고 말했다.
KISA는 이번 업비트 해킹이 어떻게 발생한 것인지에 조사를 집중하고 있다. ISMS의 기준은 일반적으로 범용이지만, 암호화폐 거래소에 대해서는 암호화폐의 특성을 고려해 관련 기준이 적용됐기 때문이다. KISA 관계자는 “지난주까지 조사팀이 현장에 나가 조사를 진행했다”면서 “거래소의 경우 ISMS 인증 단계에서 멀티시그가 적용됐는지 혹은 그에 준하는 대책을 수립했는지 등을 확인하는데, 어떤 부분에서 문제가 발생했는지는 조사 결과가 나와봐야 알 것”이라고 말했다. 멀티시그는 하나의 암호화폐 지갑에 두 개 이상의 개인키를 이용해야 접근할 수 있는 기능이다.
◆ ISMS는 최소한의 장치… 건강검진에 불과하다
업비트로 인해 불거진 보안 논란이 암호화폐 거래소 전체로 퍼져나가는 모습이다. 특히 ISMS 인증조차 받지 않은 거래소들에 대한 의심의 눈초리는 더욱 거세지고 있다. 현재 ISMS 인증을 받은 거래소는 업비트, 빗썸, 코인원, 코빗 등 4대 거래소와 고팍스, 한빗코 등 6개 거래소가 전부다. 이외 거래소는 ISMS 인증조차 받지 않고 있으며 보안이 어떻게 이뤄지고 있는지 조차 알 수 없다.
ISMS를 받지 않았다고 해서 보안 수준이 낮다고 단적으로 지적할 수는 없다. ISMS를 받지 않고도 보안 관련 인프라가 뛰어나거나 보안 수준이 높을 수 있기 때문이다. 김승주 고려대학교 정보보호대학원 교수는 “ISMS가 보안 수준을 이야기해 주지 않는다”면서 “ISMS 이외에도 보안 인증은 넘쳐나며 인증을 안 받고도 보안 수준이 높은 경우도 있다”고 말했다. 다만 ISMS 인증 이유에 대해 “우리나라는 건강검진 수준인 ISMS조차 안 돼 있는 곳이 많아 받으라고 했던 것”이라면서 “업체 자체의 동인이 없어 의무화한 것”이라고 말했다.
김 교수는 ISMS를 보안과 관련한 대단한 인증으로 여겨서는 안 된다고 설명했다. KISA 또한 ISMS에 대해 침해사고로부터 100% 안전한 것은 보장하지 못한다고 설명하고 있다. KISA가 발간한 ISMS 인증제도 안내서에는 “ISMS가 침해사고로부터 100% 안전하다는 것을 보장하지는 못하지만, 정보보안 침해사고 가능성을 현저하게 줄일 수 있고 발생하더라도 피해를 최소화할 수 있다”고 명시돼 있으며 ISMS 인증 업체 해킹 관련 국감에서 KISA는 “ISMS는 건강검진 같은 것”이라면서 “건강검진이 모든 병을 예방해 주지는 않는 것과 같다”고 말한 바 있다.
◆ 거래소 보안, 자유에 따라 책임 강하게 부여해야.
김 교수는 거래소가 그 규모에 따라 적용하는 보안 수준이 다를 수 있도록 해야 한다고 주장했다. 거래가 많은 곳과 적은 곳의 보안을 통일해 일률적으로 적용해서는 안 된다는 주장이다. 그는 “미국의 경우 최선의 대책은 제일 좋은 보안이 아닌 보호해야 할 정보의 양 및 중요도에 준하는 보안대책을 수립했는가에 있다”면서 “우리나라도 거래 규모에 따라 그에 걸맞은 보안 수준을 자율적으로 수립하게 하고 이를 위반했을 시 큰 과징금을 물게 해야 한다”고 말했다. 그는 이어 “이와 같은 네거티브 규제는 본래 자유를 주는 만큼 책임도 크다”면서 “자유에 따른 책임을 크게 가져가야 제대로 된 규제가 이뤄진다”고 말했다.
한편 최소한의 정보보안 수단으로 인식되며 이번 특금법에도 포함된 ISMS지만, 이를 곱지 않게 보는 의견도 있다. 특정 인증 수단을 법에 명시하게 되면 사고가 발생하고 책임 소재를 물었을 때 사고 업체에 면죄부를 줄 수 있다는 주장이다. 김승주 교수는 “법률에 ISMS 인증이 들어가게 되면 사고가 발생했을 때 인증을 받는 것만으로도 어느 정도 책임에서 자유로워질 수 있다”면서 “거래소가 더 많은 대책을 세울 수 있도록 해야 한다”고 지적했다.
기사제보 및 보도자료 : press@blockmedia.co.kr
▶블록미디어 유튜브: http://bitly.kr/9VH08l
▶블록미디어 텔레그램: http://bitly.kr/0jeN
