빗썸·업비트 등 암호화폐 거래소가 한국블록체인협회 차원의 보안성 등 1차 자율규제심사를 통과했다.
협회는 심사 과정에서 일부 회원사에서 보안상 미흡한 부분이 발견됐지만, 심사 기간까지 늘려가며 참여한 모든 회원사를 통과시켰고, 최근 대규모 해킹사태를 겪은 빗썸도 심사를 통과해 협회의 심사가 사실상 유명무실하지 않느냐는 지적이 나온다.
11일 한국블록체인협회 자율규제위원회는 서울 중구 명동 은행회관에서 기자간담회를 열고 12개 회원사를 상대로 1차 자율규제 심사를 한 결과 12곳 모두 심사를 통과했다고 밝혔다.
12곳은 네오프레임, 두나무(업비트), DEXKO(한국디지털거래소), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비코리아 등이다.
당초 2월에는 23곳이 심사 참여 의사를 밝혔으나, 4월에는 14개사로 줄었고 이후 2곳이 추가로 심사 참여를 철회해 실제로 심사자료를 제출한 곳은 12곳이었다.
자율규제심사는 일반 심사와 보안성 심사 투트랙으로 이뤄졌다.
보안성 심사는 각 회원사가 제출한 심사자료를 바탕으로 보안담당자를 4차례 인터뷰하는 방식으로 진행됐고, 일반 심사는 자기자본 20억원 이상, 보유자산의 관리방법·공지 여부, 코인 상장절차, 콜드월렛(인터넷에 연결되지 않은 전자지갑) 70% 이상 보유, 시세조종금지, 내부자거래 금지 등 28개 항목을 따졌다.
심사 결과 거래소별로 보안 수준의 편차가 큰 것으로 나타났지만, 협회 측은 등급이나 거래소별 세부사항은 공개하지 않고 일괄 통과 사실만 공표했다.
전하진 자율규제위원장은 “거래소의 보안성은 전반적으로 준수한 편이나 개별 거래소 간의 보안 수준에 편차가 있었다”며 “취약점 점검 절차와 범위 설정 및 방법론상의 미흡한 부분이 발견됐다”고 말했다.
그러면서 “자율규제 심사에 참여 안 하는 거래소도 있는데 스스로 규제를 받겠다고 한 거래소에 대해 부정적으로 말할 수는 없다”고 덧붙였다.
이번 심사 과정에서 협회는 체크리스트 항목만 충족하면 되는 포지티브 방식을 택한 데다 심사 기간까지 임의로 늘렸다. 결과적으로 반쪽짜리 심사에 그쳤다는 비판을 피하기 힘들어진 상황이다.
협회 내 정보보호위원장을 맡은 김용대 한국과학기술원(KAIST) 정보보호대학원 교수는 “체크리스트 기준 심사를 하는 경우에는 정성적인 평가가 어렵다”고 설명했다.
예를 들어 어떤 거래소는 소스코드 취약점까지 점검하는 반면 일부는 웹 인터페이스만 취약점검을 하는 경우가 있지만, 주기적으로 취약점 점검을 한다는 항목에는 둘 다 ‘그렇다’고 답할 수 있다는 것이다.
또 심사 과정에서 대상인 12곳 가운데 9곳의 자료가 미비했고 4∼5차에 걸쳐 인터뷰하면서 기본적인 요구조건 충족을 위한 시간 소요로 당초보다 2달 늦게 심사 결과를 발표하게 됐다고 설명했다.
전 위원장은 “운전면허를 내준다고 해도 운전을 잘하고 못하고는 다른 문제”라며 “최고의 보안 수준이 아니라 최소기준을 제시한 것”이라고 강조했다.
최근 대규모 해킹 사고를 낸 빗썸이 보안성 심사를 통과한 것에 대해서는 보안 강화만으로 해킹을 모두 막을 수는 없으며, 추후 심사를 강화하더라도 전면 예방하기 힘든 부분이라고 밝혔다.
앞서 협회는 지난해 12월 자율규제안 초안을 발표했으며 2월 자율규제위원회를 꾸려 거래소 회원 자격심사 평가항목을 확정했다.
올 8월에는 정관변경과 함께 2차 자율규제 심사에 착수하며 이번 심사에 참가하지 않은 나머지 11개사의 참여도 독려할 계획이다.
파이낸셜투데이 한종해 기자