보안업계에서는 가상화폐 관련 서비스·금전이익 겨냥 공격 증가를 내년도 보안위협으로 손꼽아 말하고 있을 정도지만, 정작 가상화폐 거래소들의 보안 수준은 대체로 취약하다. 이에 정부는 지난 13일 관계부처 차관회의를 통해 ‘가상통화 관련 긴급대책’을 마련했고 20일 즉시 추진 가능한 조치들을 밝혔다.

이와 관련해 이날 과학기술정보통신부(이하 과기정통부)와 방송통신위원회(이하 방통위)는 정부과천청사에서 브리핑을 열고 ▲거래소에 대한 주기적 보안점검 실시 ▲정보보호관리체계(ISMS) 인증 의무화 ▲정보보호최고책임자(CISO) 거래소별로 지정 ▲서비스 임시 중지조치 제도 도입 및 개인정보 유출시 과징금 부과기준을 상향안을 내놓았다.

다음은 허성욱 과기정통부 정보보호기획과장<사진>, 황선철 방통위 이용자정책국 개인정보침해조사과 사무관, 이동근 KISA 침해사고분석단장과의 일문일답.

Q. 올해 9월부터 거래소를 대상으로 사이버보안 및 개인정보보호 체계점검을 실시했다고 밝혔는데, 실제 보안 상태는 어떠했는가?

(허성욱 과기정통부 과장) 보안 수준 자체는 완벽하다고 말할 수 있는 상황은 아니었다. 시정이 많이 필요해 보였다. 파산을 선언한 유빗의 경우, 시정 권고가 더 많았던 거래소다. 대부분 통신판매업자로 등록돼 있어 웹사이트만 유지하면 되니 보안의 기본도 안 된 곳들이 많았다. 업체별 차이는 있으나 전반적으로 개인정보보호가 취약했다.

이에 시정권고를 내렸고, 지속적으로 점검할 예정이다. KISA에서는 내년도 7대 보안 위협 중 하나로 가상화폐 거래소 등 금전을 노린 사이버범죄가 증가할 것이라고 발표한 바 있다. 내년에 더욱 집중적으로 관리해 피해를 최소화하고자 한다.

(이동근 KISA 단장) 전반적으로 핀테크·스타트업에서 시작해 급격히 성장한 곳들이다. 보안 투자를 적절히 진행한 업체가 많지 않았고, 이제 준비 중인 곳들도 있었다. 망분리와 접근통제 부분도 열악했다.

Q. 빗썸 등 일부 가상화폐 거래소들은 금융권과 비슷한 보안 수준을 갖췄다고 주장하고 있다.

(이동근 단장) 열악한 곳도 있고 상대적으로 보안 수준을 갖춘 곳도 있다.

(허성욱 과장) 빗썸이 다른 거래소와 비교했을 때 상대적으로 보안 수준이 괜찮은 것은 사실이지만, 전체 보안기준에서 완전하다고 할 수 있지는 않다. 그래서 시정권고가 있었다.

Q. 향후 보안 점검 계획은?

(허성욱 과장) 연중 4번 사이버안전진단을 하고 있다. 거래소를 포함해 꼭 같이 점검토록 하겠다. 협회가 자율적으로 보안가이드라인 만들고 보호 조치하겠다고 밝히기도 했다.

Q. 개인정보 유출, 해킹 피해와 관련한 과징금·과태료 등 정부의 행정처분은 어떻게 강화되는가?

(황선철 방통위 사무관) 현행법에서는 최근 3년간 평균 매출액의 3% 이하로 과징금을 부과하도록 돼 있다. 빗썸은 최근 급성장한 업체라 3년 평균 매출액으로 산정하다 보니 기본 과징금 액수가 적어졌다. 매출액이 없다면 4억원 이하의 정액과징금을 부과할 수 있다.

문제가 있다고 판단해 정보통신망법 개정을 통해서 상향할 계획이다. 내년 5월에 시행되는 유럽연합 일반 개인정보보호법(GDPR)에서는 전세계 매출액 4% 이하 또는 2000만 유로 중 큰 금액으로 과징금을 부과하도록 돼 있다. 그에 맞춰 망법 개정을 통해 내년에 과징금 부과 기준을 높이려고 한다. 상향 규모는 아직 언급하기 어렵다.

현재 3년 평균 매출액이냐 전년도 매출액으로 할 것이냐 등 여러 방안 중에서 고민을 하고 있다. 의원입법 등을 통하면 내년 하반기에도 시행 가능하다. 매출액, 정액 과징금 모두 개선할 예정이다. 과태료의 경우, 3000만원 이하로 명시돼 있다.

Q. 개인정보 유출 때 과징금, 과태료 이외 영업정지 조치도 가능한가?

(황선철 사무관) 과징금, 과태료, 시정명령과 책임자에 대해 징계·권고까지 가능하도록 돼 있다.

Q. 가상화폐 거래소들은 통신판매업으로 규정돼 있다. 이번 보안조치 요구로 실효성을 얻을 수 있을 것이라고 보는가?

(허성욱 과장) 최근 보안사고가 발생하면서 이용자들이 우려되고 있다. 사업자를 설득해서 보안점검을 9월부터 두 달간 수행했다. 시정권고도 했다. 하루아침에 개선되는 것이 아니니 다시 이행점검에 나서겠다. 방통위도 처벌을 강화할 방침이다.

빗썸, 코인원, 코빗, 업비트 4개 사업자는 매출액이나 일평균 가입자를 따져봤을 때 정보보호관리체계(ISMS) 인증 의무화 대상에 해당한다. 관례적으로는 매출액을 산출하기 위해 연말까지 기다린 후 1월경 통보한다. 하지만, 사태의 심각성으로 인해 일찍 통보하고 인증조치 의무화를 조속히 이행하도록 행정지도하는 개념으로 이해해 달라.

Q. 해킹으로 인해 빗썸, 유빗과 같은 사례가 발생하고 있는데 이용자 구제 정책에 대해 말해 달라.

(황선철 사무관) 개인정보 유출의 경우, 정보통신망법상 손해배상제도가 있다.이번 유빗 사건은 조사해 봐야겠지만 해킹으로 인한 결과라면 민사상의 손해배상제도를 이용할 수 있다.

Q. 거래소 관련 보안 가이드라인 기준이 있는가?

(이동근 단장) 거래소를 특정하지는 않지만, 가상화폐 지갑을 관리하는 항목 등을 포함시켜 51개 항목을 만들어 점검한 바 있다.

Q. 정보보호최고책임자(CISO) 지정은 의무사항인가?

(허성욱 과장) CISO와 같은 보안을 전담하는 책임자가 지정되면 보안에 더 신경 쓰고 자체 역량이 강화된다. KISA나 비트코인 협회를 사칭하는 사건들이 발생했을 때 CISO를 통한 핫라인으로 신속하게 조치할 수 있다.

(김기홍 과기정통부 사무관) 상시종업원 5인 이상의 통신판매업자는 CISO로 의무적으로 지정해야 한다. 통신판매사업자는 45만개에 달하기 때문에 신고여부는 제한적이다. 법령에 대한 홍보와 안내, 각종 단체를 통해 유도하고 있다. CISO를 지정하지 않으면 3000만원 이하 과태료 부과할 수 있다.

<최민지 기자>cmj@ddaily.co.kr