"빗썸까지 털리다니…" 가상화폐거래소 연이은 해킹 피해에 충격

업계 1위 빗썸 '5.5.7' 규정 준수에도 역부족…"인력·예산 더 투입해야"

국내 최대 가상화폐(암호화폐) 거래소 '빗썸'이 20일 350억원 상당의 해킹 피해를 당한 것으로 드러났다.

이번 해킹 사고는 중소 가상화폐 '코인레일'에서 해킹 공격으로 400억원 상당의 가상화폐가 유출된 지 채 열흘도 되지 않은 시점에 발생해 업계 전반에 대한 불신이 커지고 있다.

빗썸은 20일 리플을 비롯해 빗썸이 보유하고 있던 가상화폐 350억원어치를 도난당했다고 밝혔다.

빗썸은 19일 오후 11시쯤 이상 징후를 포착하고 2시간여가 지난 20일 오전 1시 30분에 입금 제한 조치를 한 뒤 자산 점검에 들어가 탈취 사실을 확인했다고 말했다.

빗썸은 최근 회원자산을 인터넷과 연결되지 않은 외부 저장장치인 '콜드월렛'으로 옮겨둔 상태다.  빗썸 관계자는 "서버를 업그레이드하고 DB 정보 보안을 강화해 앞으로 이런 일이 재발하지 않도록 하겠다"고 말했다.

빗썸은 업계 1위 거래소인 데다가 그간 보안분야에 투자를 많이 했다고 자부해왔기에 업계와 투자자의 충격이 한층 더 크다.

지난 2월 빗썸은 제1금융권에서 적용 중인 통합보안 솔루션 '안랩 세이프 트랜잭션'을 가상화폐 거래소 업계에서는 처음으로 도입했다고 보도자료를 배포했다.

지난달에는 금융업계의 대표적인 정보보호 조항인 '5.5.7 규정'을 준수한다고도 했다.

이 규정은 전체 인력의 5%를 IT(정보기술) 전문인력으로, IT 인력의 5%를 정보보호전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 금융당국이 금융사에 권고한 사항이다.

하지만 빗썸은 이용자 수와 비교하면 전체 인력이 300명 수준으로 적은 상황이다.

한국블록체인협회 차원에서 인터넷과 연결되지 않은 '콜드월렛'에 암호화폐의 70%를 옮겨두도록 하는 등 자율규제로 보안성 강화에 초점을 맞추고 있지만 역부족이다. 업계 자율이다 보니 거래소가 이를 준수할 의무가 없고 규제 수준을 높게 설정할 수도 없다. 

김승주 고려대 정보보호대학원 교수는 "국내 거래소를 들여다보면 기술적인 면에서나 (보안) 투입 인력 수에서도 은행·증권 시스템보다 열악하다"며 "현재는 거래소가 법적 틀 안에 있지 않으니 자발적으로 책임감을 느끼고 인력·장비·예산을 투자하는 수밖에 없다"고 지적했다.

한편 빗썸 해킹이 알려지면서 20일 비트코인을 비롯한 가상화폐와 가상화폐 관련 주식이 하락했다.