11일 국회입법처가 발간한 ‘2020 국정감사 이슈 분석’에 이와 같은 내용이 들어있다. 정무위원회와 기획재정위원회는 해당 리포트에 해킹 사고 관련 ‘가상자산이용자 보호 방안’에 대해 작성했다.
리포트는 “외부에서 거래소 시스템에 부정하게 접근할 경우 이를 감지할 수 있는 장치 존재 여부를 점검해야 하며 보안 인력 규모 및 보안을 외부 위탁하는 경우 외부 업체에 대한 관리 체계가 있는지 살펴볼 필요가 있다”고 전했다.
또한 “가상자산거래소 고객의 가상자산 보관 방식에 제약을 두어 가상자산 불법 유출을 미연에 방지하는 방안을 고려할 필요가 있다”고 말했다. 그 예로 일본의 사례를 들었다.
일본은 지난 2018년 1월 대형 가상자산거래소 코인체크의 가상자산 부정유출 사건을 계기로 이를 방지하기 위해 콜드월렛 방식의 비밀키 인증 관리 방식을 활용하는 방안을 논의했다.
가상자산을 보관하는 방법에는 핫월렛 방식과 콜드월렛 방식이 있는데 핫월렛 방식은 가상자산 거래에 필요한 인증코드를 온라인 상에서 보관하는 반면, 콜드월렛은 인증코드를 오프라인 상에서 보관하기 때문에 보안에서 우수하다는 평가를 받고 있다.
코인체크 해킹 당시 유출된 고객 가상자산은 모두 핫월렛 구조로 관리된 가상자산에서 발생했으며 콜드월렛에서는 유출되지 않았다. 이에 리포트는 “우리나라 가상자산거래소에 대해서도 매매 및 이체의 신속성이 요청되는 경우를 제외하고 가상자산을 콜드월렛 방식으로 보관하게 하는 방안을 검토할 필요가 있다”고 제안했다.
과학기술정보통신부와 한국인터넷진흥원이 언론보도 등을 통해 추산한 최근 5년간 가상자산거래소 해킹 사건은 9건이며 경제적 피해 규모는 약 1266억원 이상이다.
9건의 해킹 사고 중 8건에서 가상자산이 유출됐으며, 나머지 1건에서는 고객의 개인정보가 유출됐다. 이중 ‘야피존’과 같은 일부 가상자산 거래소는 손실을 감당하지 못하고 파산했다.
야피존은 지난 2017년 4월 55억원 규모의 해킹을 당했고, 6개월 만에 거래소 이름을 ‘유빗’으로 바꾸고 계속 운영했다. 그해 12월 재차 170억원 가량의 해킹 사고를 당했고, 이후 코인빈이 유빗을 인수해 운영했다. 해킹 사건이 일어날 때마다 꼼수 영업을 한 코인빈은 지난해 2월 결국 파산 신청했다.
양 기관은 리포트에서 “해킹으로 인해 가상자산이 유출될 경우 거래소가 탈취된 가상자산을 추적하여 되찾은 후 이를 이용자에게 반환하는 데 상당한 시일이 걸린다”며 “가상자산거래소가 파산할 경우 이용자의 가상자산 등에 대한 인출권이 제한될 수 있어 이용자에게 피해가 발생할 우려가 있다”고 밝혔다. 이러한 피해에도 현재 가상자산 거래소 해킹 사고에 대한 체계적인 대응 방안이 마련되어 있지 않은 상황이다. 리포트는 가상자산거래소 해킹 방지 대응 상황 및 지속적인 모니터링이 필요하다고 주장했다.
내년 3월 시행 예정인 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 상 가상자산거래소는 업무 수행을 위해 금융정보분석위원장에게 사업자 신고를 해야 한다. 신고를 수리받기 위해서는 한국인터넷진흥원 등의 인증기관으로부터 해킹 예방 등을 위한 정보보호관리체계(ISMS) 인증을 받아야 한다.
양 기관은 “특금법 시행 전까지 거래소들은 ISMS 인증을 받아야 하나 개정법 시행 전에도 거래소 해킹 문제가 발생할 여지가 있으므로 아직 ISMS 인증을 받지 않는 거래소가 해킹에 대응할 역량을 갖췄는지에 대한 점검이 필요하다”고 말했다.
한편, ‘2020 국정감사 이슈 분석’은 올 한 해 주목할 만한 정책이슈를 선정하여 현황과 핵심 쟁점을 분석한 것으로, 지난 2009년부터 매년 국정감사를 앞두고 발간됐다.
