이 기사는 2018년 06월 21일 08시39분 thebell에 표출된 기사입니다

중소 암호화폐 거래소 '코인 레일'에서 400억 원의 해킹 사태가 일어난 지 열흘 만에 국내 대형 업체 빗썸도 해커의 먹잇감이 됐다. 지난해 6월 빗썸 직원의 개인 PC가 해킹돼 3만 명의 개인 정보가 유출된 상황과 다르다. 이번엔 서버가 공격당해 고객의 자산 350억 원이 해커의 손아귀에 들어갔다.

빗썸뿐 아니라 연일 투자자들의 마음을 졸이게 하는 암호화폐 거래소 해킹 사건은 운이 나빠 갑작스럽게 발생한 사건일까.

대한민국은 해커들의 놀이터라고 불릴 만큼 다양한 분야에서 사이버 보안 사고가 빈번하게 발생한다. 투기 열풍은 잦아들었으나 암호화폐에 대한 관심이 큰 상황에서 해커들이 암호화폐 탈취를 위해 거래소를 눈여겨보고 있다는 예상은 꾸준히 제기됐다. 이런 경고에 투자자들이 흔들릴 때면 국내 대형 거래소들은 금융권 수준의 보안 시스템을 구축했다고 당당하게 발표했다.

특히 이번에 해커의 표적이 된 빗썸은 지난 5월 '제1금융권 수준의 보안 시스템'을 갖추고 있다고 자신했다. 속 사정을 들여다보니 정보보호관리체계(ISMS) 인증 의무 대상임에도 불구하고 인증도 아직 받지 못했다. 다른 대형 거래소도 상황은 마찬가지다. 인증을 준비하고 있지만 기본이 안된 상황에서 펼쳐지는 업체들의 보안 마케팅이 황당하게 여겨질 정도다.

앞서 빗썸은 보안 솔루션으로 안랩의 세이프 트랜잭션을 도입한다는 발표도 했다. 일반적으로 기업은 보안상의 이유로 서버나 보안 솔루션 제품을 외부에 공개하지 않는다. 단순히 보안 의식이 없어서 제품 정보를 공개한 것은 아니라는 판단도 선다. 내부적인 논란도 있었을 것이다. 그럼에도 불구하고 해커에게 뚫리지 않겠다는 자신감이 있었기에 내놓은 과감한 조치였던 것으로 해석된다. 하지만 결국 호시탐탐 빗썸을 노리고 있던 해커에게 일부 답안을 유출하는 셈이 됐다.

공격하는 해커들은 기업의 보안 체계보다 더 촘촘한 준비와 지속적인 공격으로 보안 시스템의 허점을 뚫는다. 해킹 피해를 막을 수 있는 100점짜리 정답은 없다. 자사의 보안 시스템을 신뢰하지 말고 끊임없는 점검과 관리가 필수다. 결국 허술한 보안 체계의 피해자는 회사의 시스템을 믿고 거래한 개인투자자들이다.

업계의 미성숙한 보안 정책은 정부의 정확한 규제 가이드라인 부재도 한 몫했다. 최근 다양한 정치적 이슈 때문에 암호화폐 규제 관련 논의는 개점 휴업 상태였다. 규제가 있다면 가이드라인을 최소한의 기준으로 삼고 최전선의 의무 조치를 강화할 수 있었을텐데 자율에 맡기다 보니 혼란이 온 것이다.

빗썸 해킹에 성공한 해커들은 또 다른 거래소로 향할 것이다. 암호화폐 업계의 높은 보안 의식 구축과 더불어 정부에서는 보안 가이드라인을 조속히 만들어 산업 발전을 함께 노력해야 할 때다.