암호화폐 보안 솔루션기업 웁살라 시큐리티의 패트릭 김 대표(사진)는 한경닷컴과의 인터뷰에서 국내 암호화폐 거래소들의 보안 수준을 이같이 지적했다. 그는 “해킹 등의 문제는 개인이 아무리 관심을 가져도 언젠가는 실수를 하기 마련이다. 기관이 보호해줘야 하는데, 암호화폐 업계에선 거래소가 맡아야 할 역할”이라고 설명했다.
웁살라 시큐리티는 보안 분야에서 잔뼈가 굵은 전문가들이 창업한 스타트업이다. 김 대표는 시스코, 다크트레이스, 팔로알토 네트웍스 등에서 10년 이상 경력을 쌓았다. 워치가드, 소프트뱅크, 뱅크오브아메리카(BOA) 등에서 25년간 근무한 존 커크 에반젤리스트와 F5네트웍스, 팔로알토 네트웍스 등에서 10년 넘게 근무한 나롱 청 운영 총괄 등이 참여했다. 웁살라 시큐리티는 보안 블록체인 센티넬프로토콜도 운영하고 있다.
업계는 국내 암호화폐 거래소가 이미 200개를 넘은 것으로 추산하고 있다. 하지만 높은 보안성을 갖춘 거래소는 찾기 어렵다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 최근 진행한 보안 점검 결과에서 비교적 양호하다는 평가를 받은 거래소는 7곳에 그쳤다.
김 대표는 “그나마 대형 거래소들은 보안에도 신경 쓰고 있지만 중소형 거래소들 상황은 다르다”면서 “당장 자본금도 적은데 암호화폐 하락장에 수익마저 줄어드니 보안은 뒷전으로 밀린다. 하지만 중소형 거래소라고 이용자가 없는 것은 아니지 않느냐”고 우려했다
실제로 신규, 중소형 거래소들은 거래량에 따른 에어드롭(토큰 무상지급) 이벤트 등으로 사용자 유치에 나서고 있다. 이런 거래소들은 보안성이 뛰어나다고 주장하지만 구호에 그치는 경우가 많다고 했다. 이벤트를 보고 거래한 사용자들은 해킹 위협에 노출되는 셈이다. 부실한 관리는 자금세탁으로도 이어질 우려도 있다. 그는 “여러 보안 전문가들의 분석에 따르면 지금도 많은 자금이 거래소를 통해 세탁되고 있다”고 짚었다. 이어 “현재 개별 거래소들이 고객실명인증(KYC) 자금세탁방지(AML) 등을 한다고 하지만 금융권 수준에는 대부분 못 미친다”며 “거래소들이 능동적으로 나서야 (자금세탁을) 막을 수 있을 것”이라고 말했다.
구체적 방법으로 거래소간 정보 공유와 연계를 제시했다. 자금세탁, 사기 의심 등 이상 거래를 추적하고 관련 정보를 거래소들이 실시간으로 공유해야 한다는 것. 국내외 거래소들이 정보를 공유하고 협력해야 범죄 대응이 가능하다는 얘기다.
일례로 웁살라 시큐리티는 지난해 거래소를 설립한다면서 자금을 모집한 뒤 도주한 퓨어빗의 자금흐름을 추적하고 있다. 자금 일부가 국내 거래소 업비트로 옮겨진 당시 웁살라 시큐리티와 업비트의 공조로 해당 자금은 즉시 동결됐다.
퓨어빗의 남은 자금 대부분은 최근 미국 거래소 폴로닉스로 옮겨졌다. 웁살라 시큐리티는 해당 거래소로 연락을 취했지만 고객 프라이버시 보호를 이유로 협력을 거부당했다고 귀띔했다. 업비트로 옮겨진 자금은 거래소의 신속한 조치로 피해자들에게 돌아가게 됐지만, 폴로닉스로 흘러들어간 자금은 현지 사법기관이 나서지 않는 이상 압류가 불가능하다.
우리 정부도 이러한 점을 우려하고 있다. 김 대표는 웁살라 시큐리티와 만난 정부 기관이 암호화폐 투자를 허용해 거래소 산업을 활성화할 경우 신종 사기와 범죄에 대한 사용자 보호가 가능하겠냐는 시각을 드러냈다고 전했다. 더불어 현재도 보안이 취약한 거래소들이 향후 사용자 권익보호에 노력을 기울일지에 대해서도 회의적 시각이 있다고 덧붙였다.
김 대표는 “거래소들이 구세대라 칭하는 시중 은행들도 연합해 자금 흐름을 공유한다. 기존 금융의 노하우, 프로세스, 지식을 전수받고 사용자 권익에 있어서는 서로 협력하고 투명하게 공개해야 암호화폐 거래소가 차세대 금융을 자처할 수 있을 것”이라고 강조했다.
오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com