신고만 하면 운영 가능, 보안은 ‘등한시’… 당국 관리감독도 없어
[파이낸셜투데이=이일호 기자] 최근 국내 최대 가상화폐 거래소 ‘빗썸’에서 발생한 해킹 사건으로 가상화폐 거래소 보안문제가 화두로 떠올랐다.
가상화폐 거래소는 언제든지 해커의 표적이 될 수 있다. 하지만 가상화폐를 보호할 만한 법적 근거가 따로 없어 투자자 피해가 발생해도 구제할 방법이 사실상 없는 상황이다.
◆빗썸 거래소 해킹… 피해사실 감추나?
5일 빗썸 측에 따르면 자사 직원이 자택에서 쓰던 개인용 PC가 해킹을 당하면서 3만여 명의 고객 개인정보가 유출됐다. 빗썸은 하루 거래량만 7000억원에 달하는 세계 6위권 가상화폐 거래소다.
이에 앞선 지난 6월 중순부터 가상화페 커뮤니티를 통해 해킹 피해 사례가 알려지기 시작했다.
한 피해자는 “전화로 빗썸 보안팀이라 사칭하는 사람이 ‘해외아이피(IP)로 접속 시도가 있었다’며 휴대폰 인증번호를 요구해 급한 마음에 불러줬더니 순식간에 해킹을 당했다”며 “아파트 계약금을 날리게 됐다”고 말했다.
이밖에도 OTP(일회용 비밀번호)를 불러달라거나 계정을 정지해야 한다는 등의 수법을 통해 피해를 입은 사례들이 다수 확인되고 있다.
피해 사례가 주로 6월 중순부터 하순까지 이어지는 것을 감안할 경우 해킹은 6월 초·중순 사이 이뤄진 것으로 추정된다.
빗썸 관계자는 “자사 내부망이나 서버, 가상화폐 지갑과는 무관한 사고로, 모든 회원의 원화와 가상화폐 예치금은 안전히 보관되고 있다”며 “2차 사고를 예방하기 위해 부득이하게 정보 유출이 의심되는 회원의 계정을 출금불가 상태로 전환하고 순차적으로 해제하는 중”이라 밝혔다.
하지만 가상화폐 커뮤니티에 피해자들이 올린 내용을 종합한 결과 해커들이 고객 아이디에 로그인해 가상화폐를 거래한 정황이 포착됐다. 단순히 이메일과 휴대폰번호 유출에 그친 게 아니라 아이디와 패스워드 등도 함께 유출됐을 가능성이 높다는 얘기다.
빗썸이 추정한 고객정보 유출건수는 3만여 건이다. 하지만 실제 피해건수는 더 늘어날 수도 있다. 이와 관려해 한국인터넷진흥원(KISA)과 방송통신위원회는 기초조사를 벌였고, 검찰도 수사에 착수한 상황이다.
현재 빗썸 측은 자사 홈페이지를 통해 개인정보가 유출된 모든 고객에게 10만원을 보상하고, 추가 피해에 대해서도 보상할 계획이라는 공지를 올린 상황이다. 하지만 외부 전화나 이메일 등 모든 문의에 대해서는 응답을 하고 있지 않는 상황이다.
◆연이은 거래소 해킹 사고… 막을 방법 없나?
가상화폐 거래소 해킹 문제는 이번이 처음이 아니다. 지난 4월 가상화폐 거래소 ‘야피존’이 해킹을 통해 코인지갑(거래소가 고객 가상화폐를 모아놓은 계좌) 4개를 탈취당했다. 피해 규모는 3831비트(BTH)로 당시 시세로 55억원 규모에 달했다.
문제는 가상화폐 거래소가 은행과 다르게 해킹을 당하더라도 피해자 보호 방안이 전무하다는 점이다. 은행의 경우 고객 돈이 유출되는 피해를 보상해야 할 의무가 있다. 계좌 또한 법적 절차에 따라 생성된다. 은행 자체적으로도 보안 시스템을 갖추는데 적지 않은 돈을 투자한다.
반면 보안업계 관계자들은 가상화폐 거래소가 보안 시스템 구축에 상대적으로 적은 비용을 들일뿐더러 내부 직원 보안 교육에도 소홀한 것으로 보고 있다. 이번 빗썸 사태 또한 내부 직원이 고객 정보를 개인PC에 보관했다가 해킹을 당한 건으로, 일반적인 금융기관이라면 벌어지지 않았을 사건이라는 게 업계의 중론이다.
또한 가상화폐는 거래 수단으로 활용할 수 있음에도 불구하고 법정 화폐로 지정되지 않았을뿐더러 법적으로 ‘재산’인지 여부조차 불투명하다. 금융당국에 ‘통신판매업자’로 신고만 하면 따로 허가나 관리·감독 없이 거래소 영업이 가능하다는 점도 문제다. 거래소가 해킹 피해를 보더라도 고객들이 법적 보호를 받을 방법이 사실상 전무한 셈이다.
물론 빗썸은 계좌 거래에 OTP를 활용하고 AIG손해보험에 10억원 규모의 해킹 보험을 들어놓는 등 자구책을 마련하고 있다. 하지만 해킹을 원천적으로 막을 방법은 없을뿐더러 피해가 발생했을 경우에도 공권력의 보호를 받을 수 없어 피해자들은 거래소에 보상을 요구할 수 없다.
금융위원회는 지난해 11월 ‘디지털화폐 제도화 태스크포스’를 열고 가상화폐 관련 규제책 등을 논의했다. 금감원도 가상화폐 시장 과열과 관련 ‘가상통화 투자시 유의사항’을 발표하기도 했다.
박용진 더불어민주당 의원도 가상화폐 거래소 운영 등 영업활동을 하는 자가 금융위원회에 인가를 받을 수 있도록 하는 ‘가상화폐 관련법 개정안’을 마련, 이달 중 발의할 예정이다.
박 의원은 “최근 거래급증에도 국내에 관련 법규가 없어 가상화폐에 대한 정의는 물론 관련된 행위 전반이 법적 테두리 밖에 존재할 수밖에 없다”며 “주요 선진국 등은 법적인 정비가 마무리된 곳도 있는 만큼 우리나라도 늦지 않게 법적 제도적 논의를 시작해야 한다”고 지적했다.
하지만 이러한 법령이 적용된다고 하더라도 가상화폐를 법정화폐로 취급하지 않는 이상 해킹 등 사고를 막는 것은 현실적으로 불가능할 것으로 보인다. 독일과 일본 등 주요 국가들처럼 가상화폐를 법정화폐로 지정하고 보호책을 세우는 것이 시급하다는 목소리도 커지는 이유다.