400억원의 암호화폐가 해킹으로 탈취되는 등 암호화폐 거래사이트를 겨냥한 해킹사고가 끊이질 않고 있는 가운데 빗썸과 업비트, 코인원, 코빗 등 4개 거래사이트들은 올 상반기가 지나도록 ‘정보보호관리체계(ISMS)’ 인증신청서를 제출하지 않은 것으로 드러났다.

지난해부터 국내외 암호화폐 거래사이트에서 해킹사고가 잇따르자, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난 1월 매출액 100억원 이상, 일일평균 방문자수 100만명 이상의 거래사이트에 대해 ‘ISMS 인증’을 의무화했다. 이에 따라 빗썸과 업비트, 코인원, 코빗은 ‘정보보호관리체계(ISMS)’ 인증 의무대상 기업으로 지정됐다.

‘ISMS’는 기업의 정보보호 관리체계가 기준에 적합한지 정부기관이 심사해 인증을 부여하는 제도다. 당시 정부는 거래사이트 보안 강화의 시급성을 감안해 인증 의무대상으로 지정된 4개 거래사이트에 대해 조속히 인증을 이행해줄 것을 당부하고, 의무 대상이 아닌 거래사이트들도 자발적으로 ISMS 인증을 받도록 독려하겠다고 밝혔다. 하지만 반년이 지나도록 이를 따른 기업은 단 1곳도 없는 상황이다.

하루에 작게는 수억원에서 많게는 수조원이 거래되는 암호화폐 거래사이트가 현행법상 통신판매업자로 돼 있다보니, 정부가 ISMS 인증신청서를 제출하지 않은 거래업체를 규제할 방법이 없다. ISMS 인증을 받지 않아도 정보통신망법상 과태료 3000만원만 내면 된다. KISA 관계자도 “아직 ISMS 인증을 신청한 거래사이트들은 없다”면서 “인증을 강제하긴 어려운 상황”이라고 토로했다.

이처럼 정부의 보안인증제도가 법적 구속력이 없다보니 암호화폐 거래사이트들은 해커들의 먹잇감이 되고 있다. KISA 실태점검 결과, 침입차단시스템이나 개인정보 암호화 조치 등 최소한의 정보보호 조치조차 취하지 않은 거래사이트들이 허다했다. 영세한 거래소일수록 보안에 더 취약했다.

지난 11일 발생한 중소거래사이트 코인레일의 400억원 암호화폐 해킹사건도 허술한 보안이 부른 인재였다. 코인레일은 인터넷에 연결된 ‘핫월렛’에 고객들의 암호화폐를 보관했다가 해커에 의해 털렸다. 한국블록체인산업협회는 보유한 암호화폐의 70%를 인터넷에 연결되지 않은 서버인 ‘콜드월렛’에 보관하도록 강제하고 있지만 코인레일은 협회 회원사도 아니어서 이를 전혀 준수하지 않아 이같은 피해를 초래했다.

 
정부는 지난해 10~12월 10개 거래사이트에 대해 일제히 보안점검을 실시한 데 이어 올해도 10여개 사이트에 대해 후속점검을 하고 있지만 해킹사고는 계속 이어지고 있다. 정부는 보안점검 과정에서 발견된 취약점을 기업들이 스스로 개선하도록 독려하는 차원에 머물고 있기 때문이다. 강제할 수 있는 수단이 없다는 이유에서다.

12일 과기정통부 관계자는 “계속해서 이행사항을 확인하고 있지만 강제하긴 어려운 상황”이라며 “재원 투입이나 인적 투자 등이 필요해 시간이 걸릴 것”이라고 말했다.

한편 국회에선 암호화폐 거래사이트의 보안 의무를 강화하고 피해발생시 이용자들을 보호하는 내용을 담은 법안들이 연이어 발의되고 있다. 하지만 법제화되기까지 시간이 걸릴 것으로 보여, 당분간 암호화폐 거래사이트에 대한 보안은 업계 자율에 기댈 수밖에 없을 것으로 보인다.