국내 가상화폐 거래소가 사설로 운영되다보니 금융감독 당국의 손길이 미치지도 못할뿐더러 만약 보안사고가 나서 피해자가 발생하더라도 예금자보호법 등 최소한의 피해구제 장치도 없기 때문에 투자자들의 각별한 주의가 필요하다.

지난 26일 일본의 가상화폐 거래소인 코인체크는 해킹으로 뉴이코노미무브먼트(NEM) 코인을 유출 당했다. 이날 오전 3시경 NEM 전액이 외부로 사라졌으며, 코인체크는 전체 가상통화 출금 중단 조치를 취했다.

28일 코인체크측은 성명을 통해 '26만명의 피해자에게 엔화로 보상하겠다'고 발표하면서 사태는 일단 진정 국면에 돌입했다. 보상금액은 매매 정지 당시의 가상화폐 가격과 다른 거래소의 가격 등을 참고해 산출키로 했으며, 약 460억엔으로 추정된다.

일본에서 가상화폐 거래소는 지난해 10월부터 등록제로 변경됐다. 코인체크도 등록심사를 받고 있던 중이었다. 이번 해킹의 배후와 정확한 유출 경위는 현재 조사 중이며, 일본 금융청은 이번 사태에 대한 처분 및 대응안을 검토하는 한편 다른 거래소에 대한 보안개선 환기에 나섰다.

가상화폐 거래소에 대한 공격은 지난해부터 보안업계에서 우려하고 있던 주요 위협 중 하나다. 최근 가상화폐에 대한 관심이 전세계적으로 쏠리면서 투기수요가 몰려, 금전탈취를 목적으로 하는 사이버범죄자들의 주요 타깃이 됐다. 한국도 마찬가지다.

골드만삭스 보고서에 따르면 한국에서는 노동인구의 7%에 해당하는 약 200만명이 가상화폐에 투자하고 있으며, 이는 미국·일본에 이어 세 번째로 큰 규모다. 한국 이용자들이 보유한 가상화폐는 총 720억달러, 한화로 약 77조원에 달한다. 전체 가상화폐 규모의 약 14%를 차지한다.

가상화폐에 대한 자금이 상당한 만큼, 국내 거래소를 상대로 한 공격은 끊임없이 일어나고 있다. 이와 관련한 보안 우려는 지속되고 있지만, 아직은 미흡한 수준이다.

최근 방송통신위원회(이하 방통위)는 8개 가상화폐 거래소에 대해 열악한 보안수준을 지적하며 과태료 처분을 내리기도 했다. 조사결과 거래규모와 이용자수 급증에 반해 접근통제장치 설치부터 비밀번호 암호화까지, 기본적인 보안도 제대로 수행하지 않은 곳이 태반이었다. 사실상 유명무실한 이용자보호 조치를 취하고 있는 셈이다.

이들 거래소는 대부분 이용자 계좌번호를 암호화하지 않거나, 관리자가 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단 등을 적용하지 않았다.

앞서, 방통위는 총 3만6487건의 개인정보를 해커에게 유출당한 빗썸에게 과징금 처분을 내렸다. 국내 가상화폐 거래소에 대한 첫 시정조치다. 당시 방통위는 불법적인 개인정보 유출 시도 탐지를 소홀히 하고, 개인정보 파일을 암호화하지 않고 저장한 점, 백신 소프트웨어 업데이트를 실시하지 않은 부분 등을 문제 삼았다. 보호조치 규정을 준수하지 않았기 때문에 해킹에 직·간접적으로 악용됐다는 판단이다.

또한, 국내 가상화폐 거래소 유빗은 또 다시 해킹을 당해 파산까지 선언했다. 현재는 파산을 철회하고 다시 영업재개에 나서 논란이 일고 있다. 앞서, 유빗 전신인 야피존은 55억원에 달하는 비트코인을 유출 당한 바 있다.

정부에서도 가상화폐 거래소의 보안 수준의 심각성을 인지하고 거래소에 대한 조사를 강화하려는 의지를 보이고 있지만, 현재 국내 거래소는 전자상거래법상 통신판매업으로 분류돼 있어 소액의 수수료만 내면 누구나 등록 가능한 상태다. 영세한 업체들까지 투기수요를 노리고 뛰어들고 있어, 이용자 보호가 시급한 실정이다.

코인체크의 경우 적극적으로 보상안을 내놓았지만 가상화폐는 화폐로의 법적 지급수단 지위를 갖지 못해 일반 금융권과 달리 이용자를 보호하기 어렵다. 거래소를 대상으로 공격을 펼쳐 가상화폐를 탈취할 경우, 거래소에 따라 이용자 보호 및 보상안을 내놓을 수 있지만, 개인에 대한 위협에 대해서는 속수무책이다.

이용자의 계정을 탈취해 지갑을 가로채는 행위 등도 심심치 않게 발견된다. 최근 정상사이트와 유사한 피싱사이트를 통해 이용자들의 가상화폐를 탈취하는 사건도 나타났다. 국내에서도 일부 피해가 나타난 것으로 알려졌다.

이에 이용자들은 가상화폐 거래소가 해킹과 시스템 장애 등에 취약할 수 있다는 점을 인지해야 하며, 스마트폰과 PC 등이 보안에 취약하지 않도록 관리해야 한다. 또, 일회용비밀번호(OTP)와 같은 추가적인 보안인증을 실시하는 것도 필요하다.

<최민지 기자>cmj@ddaily.co.kr