한국블록체인협회는 11일 기자간담회를 열고 제1차 자율규제 심사결과를 발표했다.
이번 1차 심사에 참여한 업체는 자율규제심사 준비가 된 12개 암호화폐 거래소로, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인코리아, 코미드, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), DEXKO(한국디지털거래소), 후오비코리아 등으로, 모든 거래소가 요건을 충족시켜 심사를 통과했다.
하지만 거래소별로 편차는 컸던 것으로 나타났다.
김용대 정보보호위원장(카이스트 교수)은 “이번 보안심사에서는 체크리스트 위주의 포지티브 심사를 했는데 12개 중 9개 거래소는 자료제출과 인터뷰에서 우리가 생각하는 수준에 맞추지 못해 4차까지 인터뷰가 진행됐다”고 말했다.
요건을 충족시키지 못한 거래소에 대해 준비할 시간을 줬고, 거래소들이 이를 받아들여 기준을 충족시켰다는 설명이다.
김 위원장은 “거래소들 간에 상당한 편차가 존재한다”며 “굉장히 잘 하고 있는 거래소도 있고, 더 많이 투자를 해야 하는 거래소도 있다”고 평가했다.
단 구체적인 거래소별 취약사례는 해킹에 악용될 수 있기 때문에 발표할 수 없다는 입장이다.
체크리스크 보안감사에서는 각각의 체크리스트에 대해 정성적인 평가를 하기 힘들다는 점을 문제로 꼽았다. 예를들면 침해탐지 시스템 사용 여부만 체크하지 실제로 성능이 어떤지는 체크되지 않기 때문이다.
이 때문에 협회는 앞으로 매년 심사기준과 요청사항을 점점 강화한다는 방침이다.
전 위원장은 “이번 거래소 심사는 최소한의 요건을 갖췄느냐에 대해 이뤄진 것이고 앞으로 매년 심사를 계속 받게 돼 있는데, 다음 심사 때는 더 강력하고 실질적인 형식의 보안심사가 진행될 것”이라고 전했다.
특히 거래소들은 웹인터페이스 등 특정영역에 치중된 점검을 수행했으나 이 같은 점검만으로는 부족할 수 있다고 지적됐다.
김 위원장은 “대부분의 해킹사례를 보면 웹을 통해 사고가 난 적은 거의 없는데 웹에 대해서만 취약점 점검을 하면 안된다”며 “보안을 잘하는 거래소의 경우 본인의 모든 인프라를 열어주고 소스코드까지도 취약점 점검을 받은 곳도 있었다”고 전했다.
최근 글로벌 1위 거래소 바이낸스에서 거래되던 시스코인 가격이 비정상적으로 급등하는 등 해킹당한 것으로 알려졌다.
김 위원장은 “바이낸스의 경우 코인의 가격이 급등했을 때 대응을 못했는데, 우리나라 거래소들 중 많은 곳은 사이드킥을 적용하고 있다”며 “바이낸스도 이런 시스템이 있었다면 이 같은 사고가 발생하지 않았을 것”이라고 풀이했다.
그는 “가능한 한 모든 공격패턴에 대응하고 새로운 공격패턴이 나왔을때 바르게 분석하고 대응할 수 있어야 한다”며 “모든 거래소들이 끊임없이 노력을 해야 하는 이유”라고 강조했다.
협회는 오는 9월에 정보보호 콘퍼런스를 개최하기로 했다.
김 위원장은 “이번에 심사하면서 거래소들이 어떻게 보안을 해야 하는지 궁금해하는 점이 많았다”며 “모든 암호화폐 거래소와 정보보호업체를 대상으로 어떻게 하면 거래소를 안전하게 설계할 수 있는지 정보보호위원회에서 콘퍼런스를 개최할 것”이라고 말했다.
아울러 협회는 오는 8월 총회를 통해 정관을 변경해 회원사에 가입하려면 자율규제심사를 의무적으로 받도록 할 계획이다. 이후 회원사에 대해서는 1년에 정기적으로 계속 심사를 받아야 한다.
전 위원장은 “초기 23개 회사는 심사 없이 회원사로 받아들였는데 이번에 심사를 받지 않은 나머지 11개 회사에 대해서도 계속 심사를 진행하도록 할 것”이라고 말했다.
그는 “아직까지 은행 신규계좌와 관련해 정부에서 어떤 메시지를 받은 적은 없다”면서 “자율규제안을 통해 틀이 만들어지면 정부가 이를 인정해주지 않을까 하는 바람이 있다”고 덧붙였다.
김다운기자 kdw@inews24.com
http://news.inews24.com/php/news_view.php?g_serial=1108260&g_menu=022400