[디지털데일리 최민지기자] 국내 대표 암호화폐 거래소 빗썸이 약 350억원 규모의 암호화폐를 탈취당하기 전 이미 여러 차례 공격징후를 발견한 것으로 밝혀져, 초동 대응를 놓고 논란이 예상된다. 특히 이미 예고된 해킹 공격이었음도 불구하고 이번 사고를 피하지 못한 것에 대한 여론의 질타가 이어지고 있다. 그동안 빗썸측은 제1금융권 수준의 보안을 자신한다고 큰소리쳤지만 결국 허언으로 드러났다.

21일 빗썸 측은 “최근 이상접속 현상이 계속 발생해 주말 동안 보안 강화 차원에서 고객 자산을 콜드월렛으로 이관하는 작업을 했다”며 “점검 과정에서 탈취된 암호화폐 분량을 발견해 20일 오전 한국인터넷진흥원(KISA)에 신고했으며, 고객 자산은 이미 콜드월렛으로 이관했기 때문에 이번에 탈취된 암화폐는 회사 보유분”이라고 말했다.

고객 자산을 미리 옮기는 조치를 취하기는 했지만, 빗썸은 KISA에 신고하기 나흘 전 이미 공격징후를 확인한 것으로 알려졌다. 수일의 시간이 있었지만 해커에 당하고 만 것이다. 빗썸은 지난 16일 오전 5시20분부터 거래안정화를 위한 서버점검을 실시한다고 공지한 바 있다.

빗썸 측은 “최근 거래소 전반적으로 이상한 접속이 있었다”며 “내부적으로 보안시스템을 운영하고 있으며, 공격 원인 등은 KISA 등에서 조사하고 있기 때문에 구체적으로 어떤 이유 때문이라고 단정적으로 말할 수 없다”고 덧붙였다.

보안업계에서는 이미 5월말부터 이달 초 국내 암호화폐 거래소를 겨냥하는 것처럼 의심된 상황들을 발견했다. 한글(HWP) 취약점을 악용한 이력서 파일, 정상적 자료로 위장한 파일을 유포했다는 것이다.

보안업계 관계자는 “공격에 사용된 코드와 발송된 메일 형식이 지난해 거래소 공격건과 유사하다”며 “빗썸건과 연결된 공격인지 명확하지는 않지만, 시점 상 이런 징후들은 연속적으로 나타나고 있었다”고 설명했다.

이어 이 관계자는 “해킹 사고가 터졌으니 빗썸은 책임으로부터 자유롭다고 말할 수 없다”며 “빗썸의 내부 소유 코인이 털린 거라 회원 피해는 없다는 공식입장이지만, 이로 인해 암호화폐 시세에 영향을 미치고 있고 실제 해킹을 당한 것이기 때문에 보안을 강화하고 추가 피해를 보장하는 구체적인 안을 내놓아야 한다”고 강조했다.

반복되는 보안사고로 인해 암호화폐 거래소가 규제 사각지대에 놓였다는 우려도 제기된다. 과기정통부가 보완조치 권고 이행상황과 보안취약점 개선조치 완료 여부에 대한 확인점검을 실시하고, 내달 신규 암호화폐 거래소를 대상으로 정보보안 수준을 새로 점검하겠다는 입장을 내놓았다.

하지만 과거에도 여러 차례 보안점검을 실시했음에도 보안사고는 발생하고 있기 때문에 임시방편에 불과하다는 지적도 나온다.

정부가 암호화폐에 대한 태도를 분명하게 하지 않고 있어 암호화폐 거래소 보안강화를 위한 강제적 규제를 펼치기 어렵다. 정부가 적극적으로 이 시장에 개입하려면 암호화폐 거래를 금융산업으로 인정해야 한다. 제도권 내로 끌어안을지에 대한 의사결정이 모아지지 않은 상태다.

암호화폐 거래시장은 금융시장만큼 성장했지만 금융당국의 규제에 직접적으로 속하지 않은 이유다. 거래소는 전자상거래법상 통신판매업으로 분류돼 있기 때문에 과기정통부와 KISA 또한 기존 사업자와 동일한 수준의 보안조치만을 요구할 수밖에 없다.

이에 고객 보호를 위해서라도 암호화폐 거래소에 대한 정부의 빠른 의사결정이 필요하다. 사후 처벌이라도 강화시켜 책임을 제대로 질 수 있도록 해야 한다는 것이다. 또, 빠른 보안조치를 위해 KISA의 수사권도 요구된다. 수사권은 검·경찰에 국한돼 있어 사이버보안 사고 발생 때 KISA는 조사와 점검만 가능하고, 권고를 통한 방식으로만 접근할 수 있다는 한계가 있다.

한편, 현재 과학기술정보통신부(이하 과기정통부)와 KISA은 20일부터 사고조사 인력을 현장에 긴급 투입시켜 조사 중이다. 경찰청 사이버안전국도 빗썸 해킹 수사에 착수했다. 자세한 해킹 경로와 빗썸의 보안 조치 미비 여부 등은 관계기관 조사 완료 후 발표될 예정이다.

이동근 KISA 침해사고분석단장은 “KISA에서 모니터링했던 부분은 아니었고, 빗썸 내부에서 탐지하고 신고한 후 바로 조사에 들어갔다”며 “디도스 공격이나 악성코드 위협 등이 있었다면 탐지·차단 등의 조치를 하지만, 특정 서버에 대한 접근 시도까지 KISA가 모두 미리 알 수는 없다”고 설명했다.

<최민지 기자>cmj@ddaily.co.kr