가상화폐 거래소, 지갑관리 취약 여전…보안 ‘적신호’

[한국금융신문 한아란 기자] 최근 가상화폐 거래소에서 해킹사고가 연이어 발생하고 있는 가운데 이들 업체의 지갑관리 보안에 구멍이 뚫린 것으로 나타났다. 대부분의 가상화폐 거래소에서 지갑 개인키 유출 및 분실을 방지하기 위한 보안대책이나 백업 및 복구 방안이 마련돼 있지 않은 경우가 대거 드러나 투자자의 각별한 유의가 요구된다.

17일 과학기술정보통신부와 한국인터넷진흥원(이하 KISA)은 지난 6월부터 7월 2달간 21개 가상화폐 취급 업소에 대한 보안 개선권고 이행현황을 중간점검한 결과 대부분의 가상화폐 거래소에서 지갑관리 부분에 있어 취약점이 있는 것으로 조사됐다고 밝혔다.

앞서 과기정통부와 KISA는 지난 1월부터 3월 21개 업체로부터 신청을 받아 기본적 보안 요구사항 85개 항목에 대한 점검을 진행하고 보안 미비점 개선을 권고한 바 있다. 이번 점검은 KISA 보안전문가가 직접 업체 현장을 방문해 신속한 조치를 권고한 17개 보안 항목의 개선 여부를 확인하는 중간점검으로 이뤄졌다.
점검 대상은 보안전담 조직 구성, 관리 전용 단말기 지정, 시스템 접근 패스워드 관리 등 6개 단기조치항목, 가상통화 입출금 통제, 지갑 이상징후 모니터링 등 가상통화 지갑관리 11개 항목이다.

점검결과 단기조치항목은 21개 업체 중 11개가 이행을 마친 상태로 나타났다. 그러나 가상화폐 지갑관리 부분에서는 대부분 업체의 취약점 개선이 아직 완료되지 않은 것으로 파악됐다. 구체적으로는 ▲지갑(콜드 월렛) 개인키 유출‧분실 방지 보안대책 미흡(12개사) ▲지갑(핫 월렛) 이상징후 모니터링 미흡(10개사) ▲지갑 백업‧복구대책 미흡(10개사) 등이다.

다만 업비트, 빗썸, 코빗, 코인네스트, 코인링크, 코인원, 코인플러그, 후오비 등 8개 업체는 단기조치항목 이행을 완료하고 가상통화 지갑관리 항목도 보안 미비 항목을 2개(20%) 이내로 개선했다.

과기정통부는 내달부터 10월까지 보안 개선권고 이행현황을 최종적으로 점검하고 85개 보안항목의 개선현황을 확인할 계획이다. 기본적 보안 요구사항으로 구성된 85개 보안 점검항목 전체를 충족한 업체는 명단을 공개할 방침이다.

아울러 과기정통부와 KISA는 이미 보안점검을 진행한 21개 업체 이외에도 새로운 업체에 대한 보안점검도 진행하고 있다. 김정산 과기정통부 정보보호정책관은 “아직 취급 업소의 보안이 취약한 수준으로 이용자의 투자 시 주의가 요구된다”며 “취급 업소에 대한 지속적인 점검을 통해 보안수준 향상을 지원할 계획”이라고 밝혔다.
이어 취급 업소에게는 “보안점검 결과 확인된 보안 미비점에 대해 개선 권고 이행을 조속히 완료하는 등 보안수준 향상에 힘써주길 바란다”고 당부했다.

한아란 기자 aran@fntimes.com