[한스경제 허인혜] 국내 가상화폐 거래가 코스닥시장과 대등한 규모까지 급성장하면서 가상화폐 거래소가 각고 끝에 자율규제안을 꺼내 들었다. 60조원에 육박한 시장규모와 대조적으로 불안정한 거래소 환경 탓에 안정성과 보안, 거래소 운용과 범죄악용까지 부작용이 발생하면서 거래소의 사회적책임론이 대두되고 있다. 앞으로도 거래소 서버다운으로 투자자 피해 속출 가능성이 있으며 더 나아가 북한의 해킹 가능성까지 제기되는 중이다.

한국블록체인협회 준비위원회는 15일 오전 서울 명동 은행연합회 국제회의실에서 ‘암호화폐(가상화폐) 거래소 자율규제안’을 발표했다./사진=허인혜 기자

■가상화폐 거래소 해커 표적 1순위…서버다운에 ‘속수무책’

가상화폐 거래의 안전성을 주장하며 가장 많이 등장하는 말은 P2P(Peer to Peer)다. 중앙집권식 금융에서 탈피해 개인간의 거래를 추구하고, 거래장부는 거래자 모두의 컴퓨터에 분산 저장되므로 금융 조작에서도 자유롭다는 이야기다.

문제는 이 P2P시스템 자체가 아니라 중간다리 격인 거래소다. 지금까지의 금융사 해킹과 마찬가지로, 거래소를 공격하면 가상화폐는 물론 거래 정보까지 취할 수 있다. 지폐 기술이 아무리 정교해져도, 위조지폐는 막을지언정 도둑을 막기는 어려운 것과 같다. 블록체인 전문가들도 현재 개인과 개인의 직접적인 분산거래가 구축되기까지는 물리적인 시간이 걸릴 것으로 전망했다. 당분간은 거래소의 보안 허들에 가상화폐의 안전이 달려 있다.

가상화폐 규제를 두고 설왕설래하는 사이 거래소들은 통신사업자로 등록하며 손쉽게 가상화폐 시장에 뛰어들었다. 국내 가상화폐 거래소는 현재 100여곳에 이른다. 금융사로서의 보안수준은 차치하더라도 기본적인 서버보안도 확신할 수 없다.

해커들은 이미 가상화폐 시장의 취약점을 발 빠르게 파고들었다. 세계 2위 규모의 글로벌 가상화폐 거래소 비트피넥스가 강력한 디도스(DDoS·분산서비스거부) 공격을 받은 데 이어 국내 1위 업체인 빗썸은 지난 4월 회사 관계자의 개인 컴퓨터가 악성코드에 감염돼 3만건이 넘는 개인정보가 유출됐다.

비트피넥스 디도스 공격의 유력한 용의자로 북한이 지목되기도 했다. 지난 10일 한국인터넷진흥원(KISA)이 안랩, 이스트시큐리티, 하우리 등 국내 보안 전문업체들과 함께 선정한 ‘내년 7대 사이버 공격전망’에 따르면 국제 해커들은 가상화폐 거래소 등을 표적공격할 가능성이 높다.

사진=빗썸 홈페이지

서버다운도 가상화폐 거래소의 고질적인 문제다.

지난달 12일 거래소 빗썸의 전산장애로 거래가 전면 중단되면서 가상화폐의 일종인 비트코인 캐시를 매도할 시기를 놓친 투자자들이 속출했다. 피해자대책위원회가 전산장애로 입었다고 주장하는 피해 금액은 약 2000억원 정도로, 전체 피해자 수는 약 2만명에 이른다.

이달 13일 또 한차례 서버다운 사태가 발생했다. 새로운 가상화폐 이오스(EOS)가 빗썸에 상장된 첫날 거래 시작 직후 20분 뒤부터 홈페이지가 멈춰 섰다. 투자자들의 주장에 따르면 그 사이 이오스의 가격은 1만7,000원에서 1만1,000원까지 롤러코스터를 탔다. 거래기록을 보면 거래 중단 직전까지 200억원 수준의 이오스가 매수됐다.

가상화폐 거래소에는 단타를 노리는 개미가 몰려있어 짧은 시간만 거래가 멈춰도 손실을 헤아리기 어렵다. 거래소들이 서버가 짊어지지 못할 수준까지 가상화폐 거래를 받아들이고 있는 게 아니냐는 우려가 거세다.

■‘예치금 100%·자기자본 20억원’ 운영조건은 촘촘…보안은 요원

15일 한국블록체인협회 준비위원회를 주축으로 국내 가상화폐 거래소들이 발표한 자율규제안에도 보안 취약과 서버다운, 그로 인한 분쟁을 다스릴 항목이 추가됐다. 예치금 100%, 자기자본 20억원 등 구체적인 선을 그은 거래소 운영 조건과 달리 해킹에 대한 대응은 아직까지 노력 단계에 그친다.

빗썸과 코인원, 코빗 등 14개 업체가 합의한 자율규제안에 따르면 협회에 속한 가상화폐 거래소는 원화 예치금은 100% 금융기관에 예치하고 가상화폐 예치금의 70%를 별도로 보관하는 예치자산 보호장치를 마련해야 한다.

또 자기자본을 20억원 이상 보유하도록 해 거래자금을 사업비에 투입하리라는 불안도 일부 해소했다. 농협과 KB국민, 하나, IBK, 신한, 광주은행 등 여섯 곳과 협의해 본인확인 가상계좌 시스템을 구축, 자금세탁도 방지하기로 했다.

가상화폐 거래소들은 가상화폐 거래의 자금세탁을 막기 위해 은행과 협조해 본인확인 가상계좌 시스템을 구축하기로 했다./사진=한국블록체인협회 준비위원회

은행 시스템을 통한 본인 계좌 확인은 내년 1월 1일부터 시행한다. 나머지 자율규제안은 1분기 이내에 실제 업무에 적용하고, 2분기부터는 모든 규제가 적용되도록 할 계획이다. 이후 참여하는 업체들도 큰 흐름을 벗어나지 않는 선에서 규제안으로 통제하기로 했다.

일각에서 신규 거래소의 진입 장벽을 우려할 만큼 거래소 운영 기준은 촘촘하게 짜였다. 반면 부작용의 온상인 서버 보안과 트래픽 증가에 대한 안정 대책에는 미온적이다.

협회 소속 거래소들은 금융업자에 준하는 정보보안시스템과 정보보호인력을 운영해야 하고, 서버다운 등의 문제도 오프라인 민원센터를 개설하고 상담창구 직원을 통해 일부 해결하기로 했다. 임직원들의 윤리 규정을 마련해 미공개 정보를 이용한 행위, 시세 조종 등 불공정 거래를 제한한다는 항목도 명시됐다.

금융업자에 준하는 정보보안시스템과 정보보호인력의 수준과 시기는 정해지지 않았다. 윤리강령의 세부 내용과 시행일자도 미정이다.

김진화 한국블록체인협회 준비위원회 공동대표는 “현재 거래소들이 정보업자에 준하는 수준의 보안은 마련했다고 본다”며 “최근 취업서류를 빙자한 메일에 악성코드를 심는 등 해킹방법이 고도화되면서 금융업자 수준에 도달하는 보안성을 갖춰야 한다고 판단했다”고 설명했다.

이어 “정보시스템에 대한 내용을 자체 실사하거나 공공 지정 기관을 통해 확인하면 내년부터는 확실히 개선된다고 볼 수 있다”고 자평했다.

서버다운 문제도 뾰족한 해결책을 내지 못했다.

김 대표는 “만약 국내 거래소만 트래픽에 취약하다면 우리나라가 수입대비 투자를 안 한다고 볼 수 있겠지만, 같은 문제는 해외에서도 일어났다”며 “협회가 설립되고 제도권 규제에 포함되면 누가 얼마만큼의 손해를 입었는 지를 파악하기도 용이할 것”이라고 설명했다. 전산 스트레스 테스트가 대안으로 언급됐다.

내부 ‘짬짜미’ 거래에 대해서는 적발 건은 없지만 불신의 분위기를 의식해 관련 규정을 발표했다. 협회는 차후 자율규제위원회를 구성해 윤리 규정을 어기거나 시장거래 질서를 어지럽히는 행위를 한 경우 거래소는 물론 거래소 임직원에도 제재를 권고할 수 있도록 했다.

한편 규제안이 정착되면 신규화폐 공개(ICO)도 규제안에 포함될 것으로 보인다.

김 대표는 “앞으로 코인신용평가사가 새 직업모델로 등장할 것”이라며 “앞으로는 가상화폐의 하드포크(가상화폐 분리 배당)에 대해서도 거래소가 동일 배당을 할 지, 안정성 확보 뒤에 배당을 할지 정할 합의와 근거도 마련될 것”으로 전망했다. 거래소들은 당분간 신규화폐의 상장을 막기로 했다.

허인혜 기자

관련기사

저작권자 © 한스경제 무단전재 및 재배포 금지