암호화폐거래소 빗썸이 지난해 이어 해킹 피해를 봤다. 빗썸은 19일 밤부터 20일 새벽 사이 약 350억원 규모 암호화폐가 탈취 당했다고 20일 공지했다. 중소 가상화폐 코인레일에서 해킹 공격으로 400억원 상당 암호화폐가 유출된 지 채 열흘도 되지 않았다.
빗썸은 유실된 암호화폐 전부를 회사 소유분으로 충당한다. 회원 자산은 콜드월렛 등에 이동 조치했다. 회원 피해는 전부 보상한다고 발표했지만 거래소 안전성 논란은 커졌다.
빗썸은 20일 한국인터넷진흥원(KISA) 침해 사고 발생 신고를 했다. KISA는 즉시 현장 점검을 실시했다. 침해 사고 원인과 공격자는 밝혀지지 않았다.
빗썸은 암호화폐 입출금 서비스 안전성을 확보할 때까지 당분간 거래 외 입출금 서비스를 중단한다고 공지했다. 입출금 서비스 재개 일정 등은 확정되지 않았다. 변동성 심한 암호화폐 시장에서 입출금 서비스 중단은 치명타다.
빗썸은 지난해 개인정보 유출 해킹 사고로 방송통신위원회에서 과징금 4350만원과 과태료 1500만원 행정처분을 받았다. 당시 빗썸은 보안을 강화하겠다고 발표했다.
2월 제1금융권에 적용하는 통합보안 솔루션 도입을 홍보했다. 금융업계 대표 정보보호 조항인 '5·5·7 규정'도 준수한다고 공개했다. 5·5·7 규정이란 전체 인력 5%를 정보기술(IT) 전문 인력, 이 가운데 5%를 정보 보호 전담 인력으로 각각 구성하는 내용이다. 전체 예산 7%를 정보 보호에 사용한다는 것도 포함된다. 금융 당국의 금융사 대상 권고 사항이다.
이번 사고로 빗썸이 보안 강화 대책을 제대로 이행하지 않은 것으로 지적됐다. 정보보호관리체계(ISMS) 인증 대상 기업이지만 ISMS 인증을 획득하지 못했다. 4월 KISA에 ISMS 인증을 신청했지만 예비 점검 결과 준비 미흡으로 보완 조치 후 재신청 요구를 받았다.
빗썸은 사고 후에도 보안 강화 입장만 반복했다. 빗썸 관계자는 “기존 보안 수준보다 우수한 어댑티브 시큐리티(적응형 보안 체계)를 적용하겠다”면서 “사전 위험을 인지하고 해킹 등을 예방하는 보안 인프라를 갖추겠다”고 밝혔다.
보안 전문가는 “빗썸은 암호화폐거래소 가운데 업력이 오래된 곳으로, 시스템과 서비스 구조가 복잡하다”면서 “지난해 사고 발생 후 일정 부분 보안 투자가 이뤄졌지만 체계를 갖춘 대응은 아니었다”고 지적했다. 이 전문가는 “암호화폐거래소 공격자는 최고 해킹 소유자”라면서 “이 같은 수준에 대응할 보안 프로세스를 만들어야 한다”고 조언했다.
김인순 보안 전문기자 insoon@etnews.com