'잇따른 거래소 쇼크' 가상화폐 거래소 보안 수준 믿을수 있나
'잇따른 거래소 쇼크' 가상화폐 거래소 보안 수준 믿을수 있나
  • 김태림 기자
  • 승인 2018.05.17 07:31
  • 댓글 0
이 기사를 공유합니다

기존 금융권 수준 보안 요구되지만, '관련법규 없어' 비교 불가

[키뉴스 김태림 기자] 가상화폐(암호화폐) 거래소 보안 수준은 어느 정도 일까. 최근 가상화폐 거래소를 둘러싼 불투명성 논란 등이 일면서, 이용자의 자산을 안전히 지켜줄 수 있는 기본적인 보안에 대한 관심도 커지고 있다.

올 들어 국내 대형 가상화폐 거래소가 사기 등 혐의로 줄줄이 검경 수사 대상에 오르고 있다. 특히 지난 11일 국내 가상화폐 시장 1·2위를 다투는 거래소 업비트가 ‘장부상 거래’ 등을 이유로 압수수색을 당하자, 비트코인 가격(업비트 기준)은 당일 오후 3시부터 매도물량이 쏟아져 1시간 만에 약 11% 급락한 879만4000원을 기록했다. 지난 16일 경쟁 업체인 빗썸도 팝체인 상장을 놓고 논란에 휩싸였다. 이날 비트코인 가격(빗썸 기준)은 오전 9시 30분부터 매도량이 증가해 2시간 만에 약 5% 하락한 902만8800원을 기록했다.

이러한 상황에서 수백만원에서 수억원을 가상화폐에 투자한 이용자들의 '돈'은 안전할까. 시스템적으로 보안 만큼은 기본적인 수준을 지키고 있는지 그 현황을 짚어봤다.

(사진=픽사베이)

금융권 보안 vs 거래소 보안, 일대일 비교 어렵다...'거래소는 관련법규 없어'

가상화폐 거래소가 금융권 수준의 보안 시스템을 구축해야 한다고 흔히들 말하지만, 보안 전문가들은 금융권 보안과 가상화폐 거래소 보안의 단순비교는 어렵다고 말한다. 우선 가상화폐 거래소에 대한 보안 관련 법규가 없다. 반면 금융권의 경우 준수해야 할 컴플라이언스(법‧윤리)와 내부지침이 명확하다.

그동안 보안 사고가 발생하면 관련 법규가 만들어졌고, 금융권은 대응하기 위한 보안 솔루션을 구축해 왔다. 금융권에서 망분리, 인증, 계정관리는 기본이다. 이 밖에 엔드포인트 탐지‧대응(EDR), 포렌식 등 다양한 보안 솔루션을 갖추고 있다.

또 금융권은 업무 연속성 계획(BCP)을 갖추고 물리적 재해‧재난에 대비해야 한다. 별도의 보안 조직을 구성하고, 매년 모의 훈련도 실시해야 한다.

서버, 스토리지 등을 구축한 환경도 다르다. 금융권은 온프레미스(자체구축) 환경인 반면 대부분 가상화폐 거래소는 클라우드 환경이다. 클라우드 업체가 보안을 책임지지 않기 때문에 가상화폐 거래소는 클라우드 환경에 맞는 보안 솔루션을 갖춰야 한다.

가상화폐 거래소 보안 수준을 금융권 수준과 일대일로 비교 할 수는 없지만, 보안업계 전문가들은 일반 인터넷서비스 보안 수준은 넘어야 한다고 입모아 말한다.

문병기 SK인포섹 하이테크사업팀장은 “법적으로 전자화폐는 아니지만, 정보보호 컴플라이언스 측면으로만 고려했을 때 전자금융거래에 준하는 보안수준을 적용해야 거래소 서비스 안전성이 확보될 수 있다”고 말했다.

문 팀장은 가상화폐 거래소가 서비스 안전성을 확보하기 위해 적어도 ▲망분리 ▲인증 ▲접근통제 ▲계정관리 등의 보안시스템을 갖춰야 한다고 제언했다.

(자료=SK인포섹)

인바운드 인프라 구축 현황은?

빗썸, 후오비 코리아, 업비트, 고팍스, 코인원, 코빗 등 6곳의 가상화폐 거래소에 외부로부터의 공격(인바운드, inbound) 차단 및 대응 인프라가 구축돼 있는지 취재해 봤다. ▲네트워크 보안 ▲서비스 보안 ▲시스템 보안 ▲관제/모니터링 등이다. 다만 “보안상 공개하기 어렵다”며 거래소 마다 밝힌 부분이 달랐다.

빗썸은 망분리, 웹 애플리케이션 방화벽(WAF), 24시간 모니터링, 디도스(DDoS) 공격 차단 클린존 시스템 운영, 일회용 비밀번호(OTP) 추가 인증, 통합보안관리(ESM) 등 솔루션을 갖추고 있다고 답했다. 기본은 갖춘 셈이다.

빗썸 관계자는 “국내 종합 정보보안 기업과 함께 모의 해킹훈련을 실시하고, 취약점을 점검하고 있다”며 “더불어, 국가 기관에서 검증하는 정보보호 관리체계에 대응하는 시스템을 구축하고 있다”고 전했다.

후오비 코리아는 망분리, WAF, 디도스 대응 솔루션, 침입방지시스템(IPS), 지능형 지속 공격(APT) 차단, OTP 추가 인증, 데이터베이스(DB)암호화, 망관리시스템(NMS), 패치관리시스템(PMS) 등 솔루션을 구축했다고 밝혔다. 디지털저작권관리(DRM)와 내부데이터유출방지(DLP) 솔루션도 갖췄다. 내부정보유출(아웃바운드, outbound) 방지 인프라도 일부분 갖춘 셈이다. 특히 DLP 솔루션은 사고가 날 경우 해킹을 당한 것인지, 내부 관계자가 돈을 횡령한 것인지 조사하는 데 유용하게 쓰인다.

또한 업비트도 보안 시스템에 만전을 기하고 있다고 설명했다. 업비트 관계자는 “외부해킹차단, 24시간상시모니터링, OTP 추가 인증 등은 이미 도입해 정상 운영 중”이라며 “5월 중 물리적 망분리를 구축할 예정”이라고 답했다.

고팍스, 코인원, 코빗 등은 “보안상의 이유로 구축한 솔루션을 자세히 공개할 수 없지만, 보안 솔루션을 계속 도입하고 있다”고 말했다.

이와 관련해 보안업계 관계자는 “망분리, WAF, 디도스 대응 솔루션 등은 가상화폐 거래소가 꼭 갖춰야할 기본 중의 기본”이라며 “기본이 갖춰지면 바이오인증, 엔드포인트 보안 등 솔루션을 추가로 구축해 보안 수준을 높여야 한다”고 제언했다.

(자료=SK인포섹)

ISMS 등 인증 준비 중, CISO 선임 완료

지난해 12월 과학기술정보통신부(과기정통부)는 거래소 해킹, 개인정보 유출 등 사이버 침해사고가 잇따르자 조건에 부합하는 일부 거래소에 정보보호 관리체계(ISMS) 인증, 정보보호최고책임자(CISO) 지정 등을 요구했다.

올해부터 일정 규모 이상(매출액 100억원 이상, 일일평균 방문자수 100만 이상)의 거래소를 대상으로 ISMS 인증을 받게 하는 등 거래소 정보보호 수준을 강화한다는 방침이다. 해당 거래소는 지난해 12월 20일 기준으로 빗썸, 업비트, 코인원, 코빗 등 4개 업체지만, 후오비 코리아와 고팍스도 ISMS 인증을 준비하고 있다.

빗썸은 올해 상반기 내 ISMS 인증을 획득하기 위해 준비 중이다. 빗썸 측은 “정보보호 관련 인증 심사원 자격을 보유한 보안 전문가들을 영입하는 등 적극 노력하고 있다”고 말했다.

이 밖에 개인정보보호 관리체계(PIMS), 정보보호 경영시스템(ISO27001) 등 정보보호 관련 인증 획득도 추진 중이다. ISO27001은 정보보호 분야에서 국제적으로 가장 권위 있는 인증으로 국제표준화기구(ISO)에서 제시하는 114개 통제항목으로 구성돼 있다.

코인원은 오는 9월 안에 ISMS 인증을 획득할 방침이다. 업비트, 코빗, 고팍스 등은 ISMS 인증을 받기 위해 준비 중이라고 밝혔다. 후오비 코리아도 ISMS 인증을 획득하기 위해 준비 중이며, 후오비 글로벌은 ISO27001 인증을 획득했다.

CISO를 가장 먼저 선임한 거래소는 코빗이다. 코빗은 지난 2015년 9월부터 CISO를 지정했다. 고팍스는 지난해 하반기 백명훈 씨를 CISO로 선임했다. 백명훈 CISO는 김앤장 법률사무소의 정보보호 전문위원을 지낸 뒤 지난해 10월 스트리미(고팍스)에 합류했다.

후오비 코리아는 박시덕 이사를 CISO로 지정했고, 빗썸은 지난 1월 정명수 이사를 CISO로 선임했다. 업비트도 올해 초 CISO를 지정했다. 코인원 측은 현재 차명훈 대표가 CISO를 겸직하고 있으며, CISO 채용을 진행 중이라고 밝혔다.

과학기술정보통신부 관계자는 “화폐 인정 유무를 떠나 일정 규모 이상인 사업자는 ISMS를 의무적으로 받아야 하고, CISO를 지정해야 한다”고 말했다.

네이버 뉴스 스탠드에서 키뉴스를 만나보세요. 키뉴스 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사

  • 서울시 강남구 역삼로25길 46, 3층(역삼동) (주)디지털투데이
  • 대표전화 : (02)786-1104
  • 팩스 : (02)6280-1104
  • 청소년보호책임자 : 김효정
  • 제호 : 온라인 디지털 경제미디어 키뉴스(KINEWS)
  • 등록번호 : 서울 아 00926
  • 등록일 : 2009-08-03
  • 발행일 : 2007-05-09
  • 발행인/편집인 : 김영준
  • 온라인 디지털 경제미디어 키뉴스(KINEWS) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2018 온라인 디지털 경제미디어 키뉴스(KINEWS). All rights reserved. mail to kinews@kinews.net
ND소프트
인터넷신문위원회