지난 21일 글로벌 암호화폐 마켓 평가 분석 기관인 CER(Crypto Exchange Ranks)은 암호화폐 거래소 보안 평가 결과를 발표했다. 업비트가 세계 14위 수준으로 뛰어난 평가를 받은 가운데 업비트와 함께 국내 거래소 쌍두마차라 할 수 있는 빗썸이 98위로 낙제점을 받았다.
CER의 이번 평가는 총 4개 항목(서버 보안성, 이용자 보안성, 크라우드소스 보안, 이력)으로 이뤄졌다. 각 항목은 10점 만점으로 매겨졌다. 총점은 CSS(Cyber Security Score)라는 이름으로 매겨졌다.
빗썸은 이번 평가에서 CSS점수 4.67을 받으며 98등, 최하위권에 머물렀다. 수치로만 봤을 때 현재 빗썸은 보안에 매우 취약한 거래소로 보인다.
속을 들여다보면 이야기가 달라진다. 빗썸의 서버 보안성(6.24)과 이용자 보안성(7.81)은 100개 거래소 기준 중간 수준으로 평가됐다. 빗썸의 서버 보안성은 국내 4위 수준으로 고팍스(6.58)와 비슷한 점수를 받았다. 국내 거래소 중 서버 보안성이 최악인 거래소는 코인빗으로 3.8점을 받았다. 코인빗의 점수는 100개 거래소 중 최하점이기도 하다.
현재를 기점으로 100대 거래소 중 3점대의 서버 보안성을 받은 거래소는 국내 거래소 3곳(코인빗, 캐셔레스트, 코인제스트) 뿐이다. 실제적으로 자체 보안이 가장 취약한 거래소는 위 3개 거래소라는 의미다.
빗썸이 이용자 보안성에서 받은 점수도 나쁘지 않은 수치다. 수치로만 봤을 때 이번 평가에서 1등을 한 크라켄과 2등인 코인베이스 프로, 3등인 바이낸스와 같은 점수이며 4등인 비트맥스(6.56)보다 높은 수치다. 큰 문제가 되지 않았다는 소리다.
그럼에도 빗썸이 최하위권에 랭크된 것은 이력(Historical)부분에서 1.5점을 받았기 때문이다. 이는 100대 거래소 중 최하위의 성적인데 해킹 이력이 발목을 잡은 것으로 보인다. 즉 이번 평가는 현재 거래소의 보안 수준을 의미하는 것은 아니라는 뜻이 된다.
이번 평가가 현재 보안수준을 대변하는 것은 아니지만 대형 거래소인 빗썸이 최하위에 랭크됐다는 사실에는 변함이 없다. 과거의 이력도 당연히 평가돼야 할 요소이기 때문이다. 앞으로 빗썸이 보안과 관련된 순위에서 하위권을 벗어나려면 보안에 대한 현재보다 높은 수준의 노력이 필요할 것으로 보인다.
한편 이번 항목 CER의 평가 항목은 다음과 같다.
첫 번째 항목은 서버 보안성(Server Security)이다. 이 항목은 보안을 위한 인증서의 품질은 어떠한지, 방화벽은 존재하는지, 데이터 위·변조를 차단할 수 있는지, 보안 쿠키가 활성화 되어 있는지, 스팸 데이터베이스가 있는지를 평가한 항목이다.
두 번째는 이용자 보안성(User Security)이다. 보안문자(Captcha)를 사용하고 있는지, 2FA(2 단계 인증)을 사용하고 있는지 여부다. 또한 암호를 얼마나 복잡하게 설정하는지도 평가 대상이 됐다.
크라우드소스 보안도 평가 항목이 됐다. 버그 바운티 프로그램을 운영하고 있는지 여부이다. 다만 100개 거래소 중 13곳만 이 항목에서 점수를 받았고 7곳만 만점을 받았다.
마지막은 이력(Historical)부문이다. 이 항목은 암호화폐 거래소가 해킹을 당한 전적이 있는지, 보안과 관련한 피해 사례가 있는지 등을 점검한 항목이다.
기사제보 및 보도자료 : press@blockmedia.co.kr
▶블록미디어 텔레그램: http://bitly.kr/0jeN
▶블록미디어 인스타그램: http://bitly.kr/1992
