해킹사고때만 땜질 처방 .. "징벌적 대책 시급"

거래규모 커지는데 사각지대 방치
규제수준 제도권 수준 끌어올려야

20일 서울 중구의 가상화폐거래소 빗썸 지점 앞에서 한 시민이 거래 현황판을 살피고 있다. 이날 빗썸은 자사가 보유한 가상화폐 350억원 어치를 도난당했다고 밝혔다. 연합뉴스

가상화폐거래소 빗썸 해킹

국내 2위 규모의 가상화폐 거래소 빗썸이 350억원 규모의 가상화폐를 탈취당하면서 정부가 이 같은 사태를 사실상 방관하고 있다는 비판이 제기되고 있다.

가상화폐 거래소를 중심으로 해킹 사고가 잇따르고 있지만 정부는 근본 대책이 아닌 임시방편으로 땜질식 조사만 진행하고 있어서다. 가상화폐 시장의 해킹사고를 근본적으로 차단하기 위해서는 '징벌적 손해배상제' 같은 특단의 대책이 시급하다는 지적이다.

한국인터넷진흥원(KISA)은 이날 오전 9시 50분경 빗썸으로부터 해킹 침해사고 신고를 접수 받고 사고원인 분석을 위해 현장에 출동했다. 경찰청 사이버안전국도 사고 접수를 받고 출동했다. 주무부처인 과학기술정보통신부, 방송통신위원회도 상황을 예의 주시하고 있다.

양기철 방통위 개인정보침해조사과장은 "우선 과기정통부가 대응하고 있는데 해킹으로 인한 개인정보 유출 가능성이 있을 수 있는 만큼 상황을 파악해 현장 조치할 것"이라고 말했다. 그러나 정부당국과 경찰은 지난 10일 발생한 코인레일 해킹 사고 때문에 조사 인력들도 허덕이고 있는 상황이어서, 빗썸 해킹 사고에 담당 인력을 투입하기도 어려운 실정이다.

당국은 이번 해킹 사건과 관련해 조사 기간만 최소한 몇 달이 걸릴 것으로 내다보고 있다. 최동원 과기정통부 사이버침해대응과장은 "KISA와 경찰에서 신고 접수를 받고 출동을 나가 서둘러 조사를 하고 있지만, 인력이 부족한 상황"이라고 어려움을 호소했다.

보안업계에서는 정보보호관리체계(ISMS) 인증을 추진 중인 빗썸이 해킹 사고를 당했을 정도면, 사실상 국내 모든 거래소가 이같은 위험에 노출됐을 것으로 판단하고 있다.

일각에서는 가상화폐 거래소를 대상으로 강력한 규제가 필요하다는 입장이지만 정부로서는 가상화폐 시장을 제도권으로 편입하는데 주저하고 있다. 가상화폐 시장이 규제의 사각지대로 방치되다 보니, 보안 사고가 지속적으로 날 수밖에 없다는 게 전문가들의 평가다.

유진호 상명대 지식보안경영학과 교수는 "정부가 가상화폐 거래 시장을 제도권 시장으로 보지 않고 있지만 거래 규모는 제도권 금융시장 못지 않게 급성장했다"면서 "가상화폐에 대한 규제 수준을 제도권 금융 수준까지 끌어올려야 한다"고 강조했다.

KISA에 따르면 빗썸은 이미 지난 4월 정보보호관리체계(ISMS) 인증을 신청했다. KISA 관계자는 "4월 말 인증준비가 되었는지 확인차 빗썸으로 예비점검을 나갔지만, 당시 준비상황으로는 ISMS 인증을 진행하기 어렵다고 판단돼 보완조치 후 재신청할 것을 요구한 상황"이라고 말했다.

보안업계에서는 가상화폐 거래소들이 보안의식이 낮고, 보안 수준도 제도권 금융권에 비해 크게 미달하는 만큼, 사고가 터졌을 경우에 파산까지 가능한 수준의 피해액을 물게 하는 징벌적 규제가 필요하다는 지적이다.

박춘식 서울여대 교수(정보보호학과)는 "금융권과 비교해 보안이 떨어지는 거래소에서 사고만 터지면 정부가 쇼하듯이 조사하고 있다"면서 "최소한 ISMS 기준을 바꿔서라도 모든 거래소가 ISMS를 받게 해야 한다"고 주문했다. 박 교수는 또 "더불어 '선자율 후책임'에 입각한 징벌적 손해배상이 강화되는 방향으로 가야 할 것"이라고 주장했다.

김승주 고려대 정보보호대학원 교수도 "정부에서의 역할이 제한적일 수 밖에 없어 거래소들이 자발적으로 보안 수준을 높여야 하지만 현실적으로 제대로 이뤄지지 않는다"면서 "미국처럼 최대한 자율적으로 내버려두되 피해자가 생길 경우 파산까지 이뤄질 수 있을 정도의 사후 처벌 강화가 필요하다"고 말했다.

이경탁기자 kt87@