국내 1∼2위 가상화폐(암호화폐) 거래소에서 연이어 해킹으로 추정되는 사고가 터지면서 거래소의 안정성에 대한 의구심이 커지고 있다.
암호화폐 거래소를 규제하는 관련 법 개정안이 국회 정무위원회를 통과한 만큼 그동안 '규제 사각지대'에 놓인 거래소가 제도권 금융으로서 모습을 갖출 수 있을지 주목된다.
27일 업계에 따르면 이날 거래소 업비트에서 해킹으로 추정되는 사고로 580억원 상당의 이더리움 34만2천개가 익명계좌로 유출됐다.
국내 거래소에서 발생한 유출 피해 사례 중 가장 큰 규모로 예상되지만 그동안 해킹 피해가 적지 않게 발생했다.
조원진 우리공화당 의원이 경찰청 국정감사 자료를 분석한 결과에 따르면 2016년 7월부터 올해 3월까지 경찰이 수사한 가상화폐 해킹 사건 8건이고, 총 피해액은 1천635억원에 달했다.
이중 국내 최대 거래소로 꼽히는 빗썸이 3건이고 피해액이 793억원으로 가장 많았다.
건당 피해액은 2017년 6월에 70억원, 지난해 6월은 209억원, 올 3월은 514억원이었다.
나머지는 중소거래소에서 발행한 해킹 사례였다.
거래소 해킹은 국내만의 문제는 아니다. 암호화폐 거래소로 막대한 자금이 몰리고 피해가 발생하면 추적이 쉽지 않은 암호화폐의 특성상 거래소가 해커들의 '먹잇감'이 되는 사례가 잦았다.
한국은행의 '분산원장 기술의 현황 및 주요 이슈' 보고서를 보면 2009∼2015년 전 세계 암호화폐 거래소 중 3분의 1이 해킹을 당했고, 그중 절반이 손해를 견디다 못해 사업을 접었다.
암호화폐 거래가 대중화되고 거래소도 발전해왔지만 사고가 끊이지 않은 것은 암호화폐 거래소가 규제의 사각지대에 놓인 탓이 크다.
자체적으로 보안 대책을 강화해왔다고 하지만 제도적인 뒷받침이 없는 한 한계가 있을 수밖에 없는 것이다.
정부는 암호화폐 거래소를 정식으로 규제하면 암호화폐를 제도권 금융으로 인정한다는 '오해'를 주기 싫어 암호화폐 거래소 규제에 소극적이었다.
연이은 사고가 터진 빗썸은 전체 인력의 5%를 정보기술(IT) 전문인력으로, IT 인력의 5%를 정보보호전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 한 '5.5.7 규정'을 준수하고 정보보호 관리체계(ISMS) 등 정보보안 인증을 받았지만 역부족이었다.
그나마 다행인 점은 올 3월 해킹 당시 고객 자산을 인터넷과 연결되지 않은 '콜드월렛'에 보관한 덕분에 고객 피해는 없었다는 점이다. 피해 물량은 빗썸 자사 소유분이었다.
업계 1∼2등을 다투는 업비트 역시도 ISMS 인증을 획득하며 보안에 신경을 써왔으나 대규모 암호화폐 유출 사태를 막지 못했다. 현재의 ISMS 인증 확보가 해킹에 취약함을 여실히 보여준 셈이다.
이에 따라 최근 국회 정무위원회에서 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)' 개정안이 통과된 만큼 암호화폐 거래소가 달라진 모습을 보일지 주목된다.
개정안이 ISMS 인증 획득 등 거래소 요건에 대한 규정을 두고 있으나 규제가 자금세탁방지에 초점이 맞춰진 만큼 암호화폐 거래소를 직접적으로 다룬 법령이 필요하다는 의견이 적지 않다.