사진=게티이미지뱅크
사진=게티이미지뱅크
가상화폐(암호화폐) 거래소들이 우후죽순 생겨나고 있다. 정부가 손 놓은 사이 60~80곳으로 늘어났다. 최소한의 요건도 갖추지 못한 거래소가 적지 않다는 게 문제다. 해킹, 출금 지연, 개인정보 유출 등 다양한 문제를 일으켰다. 이용자 피해가 우려되는 대목. 그럼에도 정부가 명확한 관련 규제를 내놓지 않은 탓에 문제 있는 거래소에 대한 제재도 어려운 상황이다.

지난 17일 소형 암호화폐 거래소 올스타빗이 해킹 사고를 겪었다. ‘No.1 보안 시스템’ 문구를 강조한 올스타빗 홈페이지에는 해커에게 암호화폐를 전송하도록 유도하는 허위 이벤트 공지가 등록되는가 하면 거래소에 상장된 암호화폐들 명칭도 임의로 변경됐다. 임직원과 일부 회원의 실명, 전화번호, 이메일 등 개인정보까지 유출됐다.

해킹 발생과 별개로 거래소가 해킹에 대비했느냐 아니냐는 천지 차이다. 문 열어놓고 다니다 도둑이 든 경우와 문을 잠그고 보안장치까지 설치했음에도 도둑이 든 경우가 다른 것처럼 말이다. 금융기관의 경우 철저한 보안을 갖추도록 규제하고 있지만 마땅한 규제가 없는 암호화폐 거래소는 높은 수준의 보안을 갖출 의무가 없다. 은행 해킹과 암호화폐 거래소 해킹의 결정적 차이점이다.

진입장벽도 낮다. 국내에서 운영 중인 거래소는 60여개, 운영 예정인 곳까지 합하면 70개가 넘는 것으로 추산된다. 신근영 한국블록체인스타트업협회장은 “암호화폐를 만들었는데 상장이 어려우니 자체 거래소까지 차린 경우가 상당수”라고 진단했다. 오정근 한국금융ICT융합학회장도 “구청에 5만원 내고 통신판매업자로 등록하면 거래소를 열 수 있다. 빈 틈이 크다”고 지적했다.

업계의 자정 노력이 없었던 건 아니다. 한국블록체인협회는 자율규제안을 만들고 올 7월 거래소들에 대한 심사 결과를 발표했다. 심사는 체크리스트 위주에 별도 현장검증 없이 진행됐다. 심사 자체가 평가보다는 컨설팅에 초점을 맞춰 다소 느슨했다는 평도 받았다.

심사위원부터 아쉬움을 털어놓았다. 당시 보안성 평가를 맡은 김용대 협회 정보보호위원장(KAIST 교수)은 “거래소 간 편차가 큰 편이었다. 심사를 받은 12곳 중 9곳의 대응 수준이 예상보다 미비해 보완을 요구했다”고 말한 바 있다. 전하진 협회 자율규제위원장도 “자율규제 심사통과는 이용자 보호의 가장 기본적인 요건 충족을 의미한다”고 덧붙였다. 심사 통과가 높은 수준의 인증을 뜻하지는 않는다는 얘기였다.

이마저도 12개 거래소만 받아 나머지는 보안 수준이 극악인 것 아니냐는 의구심마저 드는 상황. 심사 미신청 거래소는 낮은 수준의 자율규제 심사 통과도 어렵다는 추론이 가능해서다. 실제로 한국인터넷진흥원이 관리하는 보안 인증(ISMS)도 17개 거래소가 심사 받고 있지만 지난 8월 중간검사 결과에서 ‘개선 진행 중’이라는 비교적 긍정적 평가를 받은 곳은 8개에 그쳤다.

국회 입법조사처는 ‘2018 국정감사 정책자료’에서 “국내 암호화폐 거래소의 보안 수준이 낮다고 알려져 해외 해커들도 국내 거래소를 공격 목표로 삼고 있다”며 “정기적 보안 점검을 의무화하고 이를 어길 경우 폐쇄까지 가능하도록 하는 조치가 필요하다”고 지적했다.

정부는 국무조정실이 컨트롤타워 역할을 맡아 암호화폐 산업에 대한 정부 입장을 정리하고 있다. 최근에는 홍남기 국무조정실장이 다음달에는 암호화폐 공개(ICO)에 대한 정부 입장을 내놓을 방침도 밝혔다.

하지만 거래소의 경우 이달부터 중소벤처기업부가 시행령을 개정해 벤처업종에서 거래소를 제외하는 등 부정적 기류가 여전하다. 정부가 정책과 규제 확립을 미룬 탓에 생긴 거래소 난립 같은 부작용을 도리어 거래소의 제도권 진입을 불허하는 근거로 삼지는 않을지 걱정된다. 이제라도 악순환의 무한반복을 막아야 한다.

☞ 10월23~24일 '2018 코리아 블록체인 엑스포'가 열립니다. 국내외 정부 및 기업, 관련 업계 주요인사들이 참여해 '블록체인 프론티어 코리아' 비전을 전 세계에 공유합니다. 클릭하면 공식 홈페이지에서 참가 신청할 수 있습니다.

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com