암호화폐 거래소, 보안 인증 획득 시작..연내 대거 나올 듯

[이데일리 이재운 기자] 국내 암호화폐 거래소들에 대한 사이버 보안 인증(ISMS·정보보호관리체계) 획득이 시작됐다. 첫 출발을 고팍스(GOPAX)가 끊었고, 업비트나 빗썸, 코인원 등 다른 주요 거래소도 순조롭게 진행 중이다.

22일 고팍스 운영사인 스트리미는 지난 17일부로 한국인터넷진흥원(KISA)으로부터 ISMS 인증서를 받았다고 밝혔다.

앞서 지난 6월 KISA는 주요 암호화폐 거래소에 대해 ISMS 인증 의무대상이라는 점을 통지했고, 이에 의무 대상인 업비트, 빗썸, 코인원, 코빗은 물론 고팍스 등 작은 규모의 거래소도 인증을 신청했고, 이번에 고팍스가 첫 대상이 됐다.

해킹으로 점철된 거래소 이미지 쇄신

ISMS 인증은 5개 분야, 정보보호대책 13개 분야, 인증기준 104개(세부 항목 253개)에 대한 적합성 평가를 모두 통과해야 받을 수 있는 인증이다. 얼마나 체계적으로 사이버 보안에 대한 대비를 갖추고 있는지 점검하는 인증이다.

의무대상은 온라인 매출이 100억원 이상이거나 이용자 수 100만명 이상인 사업자이고, 의무 대상이 아니더라도 신청하면 심사를 받고 통과시 인증을 받을 수 있다.

ISMS인증은 서비스를 어느 정도 믿고 사용할 수 있는 수준의 보안 체계를 갖췄다는 의미다. 100% 완전히 안전히 수준의 안전도를 보장할 수는 없지만, 적어도 초보적인 공격에 쉽게 침입을 허용하는 수준은 아니라는 해석이 가능한 정도다.

그럼에도 기존 암호화폐 거래소가 해킹 피해를 통해 이용자의 자산을 제대로 지키지 못한다는 인식을 불식시키기 위해 반드시 필요한 요건이기도 하다. 또 인증을 준비하는 과정에서 컨설팅을 통해 보안상의 허점이나 취약점을 어느 정도 찾아내고, 조직 전반적으로 인식을 제고할 수도 있다는 점도 긍정적이다.

이준행 스트리미 대표는 “최근 여러 사태로 인해 가상통화 거래소의 보안에 대한 의구심이 많이 제기되었다”며 “하지만 고팍스가 ISMS인증과 ISO/IEC 27001인증을 업계 최초로 받은 것은 정보보호를 위한 투자, 보안 시스템의 운영, 관리의 체계성, 보안 수준 강화를 위한 고도화 계획 등 모든 면에 걸쳐 좋은 평가를 받은 첫 사례라는 점에서 매우 큰 의미를 갖는다”고 강조했다.

의무대상 대형 거래소도 연내 추진 ‘착착’

의무대상인 대형 거래소들은 올해 안에 인증을 획득하기 위한 절차를 진행중이다. 업비트 운영사인 두나무의 이석우 대표는 지난달 가진 기자간담회에서 “연내 인증 획득을 위한 절차가 잘 진행되고 있는 것으로 파악하고 있다”며 “의무대상으로 지정된 만큼 차질없이 준비할 수 있도록 하겠다”고 밝힌 바 있다. 빗썸 운영사인 BTC코리아 관계자도 “심사를 진행하며 관련 사항을 잘 준비하고 있는 상황”이라고 전했다.

김석환 KISA 원장도 최근 국회 국정감사에서 “(ISMS 인증 의무 대상인 암호화폐거래소) 3곳이 심사를 받고 있고 1곳은 11월달(부터), 인증 의무 대상이 아닌 작은 업체 2곳도 ISMS 인증을 받겠다고 컨설팅을 받고 있다”고 답변했다.

앞서 15개 주요 암호화폐 거래소는 한국블록체인협회가 보안 전문가들에게 의뢰해 진행한 보안 자율심사에 응해 주요 지적사항에 대한 보완 작업을 마치는 등 체계를 계속 갖춰나가고 있다.

보안 전문가들은 암호화폐 거래소에 대한 해킹 시도가 더욱 치밀해지고 정교해질 것으로 보고 있다. 동시에 개인이나 기업의 PC를 해킹해 암호화폐 채굴에 이용하는 ‘크립토재킹’을 통해 획득한 암호화폐를 세탁하려는 시도도 이어지고 있어 한국에서 사업을 진행중인 여러 국내·외 거래소의 대비책도 요구된다.

한 거래소 관계자는 “거래소들도 당연히 지속가능한 사업을 위해 보안에 신경을 많이 쓰고 있다”며 “ISMS 인증은 우선 최소 기준을 갖췄다는 점을 공인받는 작업이고, 이후에도 계속 투명성 강화 등 보강활동을 이어나가며 핀테크와 블록체인 분야의 핵심으로 계속 역할을 이어나가기 위해 노력할 것”이라고 말했다.