암호화폐 거래소 해킹 소식이 끊이지 않고 있다. 암호화폐가 갖는 익명성이 그 원인이기도 하지만 부족한 보안조치 때문이라는 비판도 만만치 않다.
한국에서 2016년 리플포유 거래소를 시작으로, 2017년 야피존 약 55억 원, 빗썸 약 70억 원, 코인이즈 약 21억 원, 유빗 약 258억 원의 해킹 피해가 있었다. 2018년까지 우리나라에서 총 피해 규모는 1300억 원에 이른다.
이는 보안조치 미비가 원인이라는 게 정설이다. 과학기술정보통신부와 한국인터넷진흥원은 2017년 9월부터 12월까지 주요 암호화폐 거래소인 빗썸과 씰렛(코인피아), 야피안(유빗), 업비트, 코빗, 이야랩스, 리플포유, 비즈스토어, 코인원, 코인플러그 등 10개사를 대상으로 보안취약점을 점검했다. 그런데 놀랍게도 10곳 중 보안 점검 기준을 만족한 거래소는 단 한 곳도 없었다.
해킹으로 인한 피해는 고스란히 이용자 몫
왜 보안 점검 기준을 만족시키는 거래소가 없는 것일까? 그 이유는 거래소를 규제하는 법령이 없기 때문이다. 법적 의무가 아닌데, 스스로 수십억 원을 투입해야 하는 보안조치를 선뜻 이행하기가 쉽지 않다는 얘기다.
현행법에서 거래소는 정보통신망법의 ‘정보통신서비스 제공자’에 불과하다. 그렇기 때문에 거래소 거래현황이나 역할에 비하면 굉장히 낮은 수준의 보안조치만 취하면 된다. 하지만 일부 거래소는 현재까지도 이마저도 갖추고 있지 않다.
해킹으로 인한 피해는 고스란히 이용자들이 떠안고 있다. 유빗 거래소는 해킹으로 이용자들에게 피해를 입히고서 파산을 해 버리는 바람에 이용자들이 피해보상을 받지 못했다. 해킹으로 인한 피해에 대해 거래소 보상책임이 면제된다는 면책약관을 버젓이 게시하는 거래소도 있다. 피해자들에게 자체 코인을 발행해 보상하겠다는 레인코일 사례도 있다.
이용자 피해는 거래소와 암호화폐 시장에 대한 신뢰를 떨어뜨리는 데 한몫을 하고 있다. 한 마디로 악순환의 연속이라 할 수 있다. 이 악순환의 고리를 끊을 수 있는 방법은 오직 하나다. 바로 거래소 입법규정 도입이다.
거래소 입법규정 도입은 단순히 해킹 피해 문제에 국한하지 않는다. 일부 거래소들은 이용자들의 집금계좌와 거래소 운영계좌를 분리하지 않고 방만하게 운영하기도 했다. 또 ICO 목적이라 할 수 있는 코인 상장에서 자의적인 판단기준을 도입해 공정성에 치명적인 문제를 일으키기도 했다. 게다가 코인을 보관하지도 않고서 거래주문을 받은 경우도 있었다. 서버 용량 부족으로 거래가 중단되면서 이용자들이 시세 변동에 대한 피해를 본 적도 있었다.
이러한 문제는 거래소나 거래소 협회의 자율에 맡길 일이 아니다. 최근 한국블록체인협회는 거래소에 대해 자율규제 심사를 했다고 하면서 심사에 참여한 12곳 모두에 대해 심사통과를 발표했다.
하지만 이에 대한 반응은 봐주기, 실효성 없는 행위 등으로 부정적이다. 개별적 심사 결과도 공개하지 않았고, 100% 심사 통과라는 점은 심사 자체에 대한 신뢰성을 의심하게 하고 있다.
입법이 없는 상태에서 협회의 자율규제 추진 자체가 문제가 있는 것은 아니다. 그러나 협회가 단순히 봐주기식 심사를 하면서 이를 자율규제라 왜곡하면 문제가 커진다. 특히 거래소 보안에 불만이 있는 이용자들에게는 짜고 치는 고스톱이라는 비판까지 가능하다.
금융기관에 준하는 법적 지위와 의무 부여해야
일부 거래소들은 ISMS(정보보호 관리체계 인증) 인증을 통해서 보안신뢰성을 높이려고 하고 있다. 그러나 이것 역시 본질적으로 신뢰를 주는데 한계가 있다. 그동안 ISMS 인증을 받은 기업임에도 대량의 개인정보 유출 사고가 터진 기업이 있었기 때문이다. 또 ISMS 인증 자체가 서류나 형식적인 심사 측면이 매우 강해 실질적인 보안신뢰를 주기에 부족하다고 보는 견해도 있다.
거래소의 보안신뢰성을 높이고 이를 통해서 선의의 피해자가 발생하지 않게 하려면 전자금융감독규정 정도의 수준까지 보안을 올려야 한다. 이를 관철할 수 있는 방법은 오직 입법 뿐이다.
한국은 은행을 통한 본인확인 과정을 도입해 간접적으로 암호화폐 거래의 투명성을 제고하고 있다. 그런데 이것 역시 똑바로 가는 길이 있는데, 왜 자꾸 돌아가려 하냐는 비판이 가능하다.
세계 모든 나라는 암호화폐 거래에 대한 고객파악제도(Know Your Customer, KYC)이나 자금세탁방지(AML)에 집중하고 있다. 외국 거래소는 스스로 KYC 2차 인증을 대폭 강화하는 추세다. 하지만 우리나라는 KYC 2차 인증을 채택한 거래소가 극소수에 불과하다.
반면 일본은 KYC를 준수하지 않은 암호화폐 거래소 두 곳에 2개월 영업정지를 내린 적이 있다. 또 보안조치가 기준에 미달한 거래소에 대해 역시 영업정지를 내린 적이 있다. 이러한 정부의 개입은 거래소의 투자를 확대시킬 것이며 이용자의 신뢰를 고양할 것이다.
최근 정보통신망법이 개정돼 온라인사업자는 개인정보 유출로 인한 손해배상 이행을 위한 공제 또는 보험가입 의무가 생겼다. 개인정보 유출도 그 배상을 담보할 수 있는 법적 장치가 생겼다. 하지만 수십조 원의 암호화폐 자산이 거래되는 거래소에는 이러한 배상 담보 장치가 없는 실정이다.
해킹으로 인해 피해를 입은 이용자들에게 충분한 금전적 배상이 이뤄질 수 있도록 미리 공제나 보험가입 의무제도가 신설되는게 바람직하다 할 것이다.
거래소 해킹 피해를 줄이고 이용자 보호를 위해서는 금융기관에 준하는 법적 지위를 부여하면서, 이에 걸맞는 의무 규정을 도입해야 한다. 시급하게 접근하고 해결하지 않는 한 힘없는 이용자가 피해자가 되는 현상은 계속되고 가속화할 것이다.
* 법무법인 민후 김경환 대표변호사, 테크M 제64호(2018년 8월) 기고.
