[소비자경제신문 이승리 기자]가상에서 통용되는 화폐라서 그럴까? 손으로 만질 수 없는 이 돈은 해커에 의해 3년 간 약 1300억원 증발했다.

30일 바른미래당 신용현 의원 발표에 따르면 3년간 가상통화 취급사에서 발생한 해킹으로 인한 피해는 언론보도 추정시 확인불가한 올스타빗을 제외해도 금액으로 약 1,266억원에 이르며, 유출 개인정보 규모도 약 3.6만 건인 것으로 나타났다.

◇3년간 가상통화 유출 등 피해 총 8건 발생

과학기술정보통신부와 한국인터넷진흥원으로부터 자료를 제출받아 신 의원이 공개한 '최근 3년 간 가상통화 취급업소 해킹 관련 기술 지원 사례' 자료에 따르면 2017년부터 2019년까지 발생한 피해는 총 8건이다.

그 중 7건은 가상통화 유출이다. △2017년 4월 코인빈(야피존) 약55억 △2017년 9월 코인이즈 약 21억원 △2017년 12월 유빗(구 야피존) 약 170억원 △2018년 6월 코인레일 약 500억원 △2018년 6월 빗썸 350억원 △2018년 10월 올스타빗 확인불가 △2019년 3월 빗썸 약 100억~200억이다. 나머지 1건은 비티씨코리아(빗썸)의 '개인정보 유출'건으로 약 3.6만건, 약 70억원의 피해를 발생시켰다.

이러한 피해가 발생함에 따라 과학기술정보통신부 등은 지난 2018년부터 △'정보통신서비스 부문' 전년도 매출액 100억  △전년도 말 기준 직전 3개월 간 일일평균 이용자수 100만 명 이상 거래소에 대해 ISMS(정보보호관리체계) 인증을 받게 했다.

신용현 의원 역시 "이용자가 많거나 매출액이 높은 대형 가상화폐 거래소는 하루라도 빨리 ISMS라는 최소한의 보안 장치를 두고록 해야할 것"이라고 전하며 제도 시행에 대해 동의하는 입장을 전했다. 하지만 여전히 취급 거래소에 대한 보안 강화 필요성이 제기되고 있음에도 사이버 침해사고가 지속되고 있다는 지적을 덧붙이기도 했다

◇ ISMS 인증 '받아도 걱정 안 받아도 걱정', 받아도 털렸다?

실제로 관련 부처에서는 지난 2017년 발생한 거래소 유빗의 해킹사고 이후 가상통화 해킹 등의 이용자 피해를 예방하기 위해 거래소의 보안 역량 강화를 요구했다. 정보 보호 수준 향상을 위해 정보통신망법 제47조에 의거 기업의 정보보호 체계의 적절성을 평가, 인증하는 제도인 'ISMS'를 2018년부터 시행한 것이다. 이에 따라 2017년 12월 20일 기준 인증의무 대상이었던 거래소는 빗썸, 코인원, 코빅, 업비트 등은 2018년 11월~12월에 해당 절차를 인증했다.

하지만 2018년 12월 ISMS 인증을 받은 빗썸은 인증 후인 올해 3월에도 가상통화 유출 사고를 냈다. 인증체계만으로 보안 문제를 해결할 수 없다는 신 의원의 지적을 뒷받침하는 것이다.

신 의원은 "빗썸처럼 ISMS를 받고도 해킹으로 인한 가상통화 유출피해가 발행할 수 있다"며 "과학기술정통부 등 정부당국에서 가상통화 취급업소에 대한 보안 강화를 위한 대책을 강구해야 할 것"이라고 밝힌 것이다.

또 ISMS 대상 거래소 중 코인제스트, 지닥(GDAK), 코인비트 캐셔레스트 등은 새롭게 인증의무 대상으로 지정되어, 내년 8월 안에 인증을 취득해야 한다. 즉, 현재 기준 ISMS 인증이 없는 것이다.

과학기술정보통신부와 한국인터넷진흥원이 지난해 9월부터 12월까지 실시한 정보보호 수준 점검결과 발표 역시 불안감을 키운다. 지난 1월 발표된 결과에 따르면 21개 취급소 중 업비트, 빗썸, 고팍스, 코빗, 코인원, 플루토스디에스, 후오비  7개사만 85개 보안 점검항목을 모두 충족한 것으로 드러났다. 절반이 넘는 곳에서 정보보호 기준을 충족하고 있지 못한 것이다.

◇자율적 ISMS 인증, 재해복구 모의훈련 등 업계 자구책 이어지기도

업계는 '가상통화'에 대한 '안전성' 논란을 불식시키기 위해 저마나 자구책을 내놓고 있다. 고팍스, 한빗코, JetFinex 등은 자율적으로 ISMS 인증을 획득하기도 했다.

또 '후오비 코리아(Huobi Korea)'에서도 지난 10일 ‘2019 IT 재해복구 모의훈련’을 실시하며 보안성 강화에 따른 투자 신뢰도 확보에 나섰다. 이날 후오비는 재난 등 비상 상황에서도 서비스를 지속할 수 있도록 대응체계 및 복구체계를 확립하는 훈련을 한 것으로 알려졌다.

이번 훈련을 통해 후오비 코리아는 비상대책본부 조직을 구성해 실무반별 임무와 역할을 점검했다. 또한 재난 발생 시 대응체계 및 복구체계를 확립하는 훈련을 하고, 재해 복구 훈련 과정에서 발생한 문제점 및 개선 방안을 도출하는 시간을 가졌다.

의무 대상으로 지정 거래소 중 가장 먼저 ISMS 인증을 획득한 '업비트' 역시 다양한 솔루션 및 정책을 도입해 안전한 암호화폐 거래를 지원하는 것으로 알려졌다. ISMS는 물론 △정보 보안(ISO 27001) △클라우드 보안(ISO 27017) △클라우드 개인정보 보안(ISO 27018) 등 3개 부문의 ISO 인증까지 받은 것이다.