[기자의 눈/강유현]불붙은 가상통화… 보안엔 뒷문 연 거래소

강유현·경제부

3일 출근길에 한 독자의 전화를 받았다. 50대 독자는 “가상통화(가상화폐) 투자를 시작하려고 한다”며 “안전한 곳에서 거래하고 싶으니 보안 점검에서 합격점을 받은 거래소가 어디인지 알려 달라”고 물었다.

동아일보가 이날 해킹에 무방비로 노출된 가상통화 거래소의 실태를 지적한 기사를 보도하자 이 같은 독자들의 문의가 빗발쳤다. 본보는 사이버 보안업체 스틸리언에 의뢰해 거래소 애플리케이션 7개의 보안 수준을 점검했다. 합격점을 받은 곳은 1개뿐이었고 4곳은 모든 점검 항목에서 낙제점을 받았다.

기자의 e메일이나 기사 댓글로도 거래소의 실명을 알려달라는 독자의 요구가 이어졌다. 한 투자자는 “어느 거래소로 옮겨야 하느냐”며 자신이 맡겨놓은 자산이 해킹으로 도난당할까 봐 불안해했다.

하지만 기자는 거래소의 실명을 밝히지 않을 예정이다. 낙제점을 받은 거래소에서 투자자들이 대규모로 자금을 인출하는 사태가 벌어지거나 해당 거래소가 해커들의 먹잇감이 돼 오히려 투자자 피해를 키울 수 있다는 우려 때문이다. 다만 독자들에게 팁을 주자면 “규모가 크거나 경력이 5년 정도 된 거래소가 그나마 보안 수준이 높다”고 박찬암 스틸리언 대표는 말했다.

국민의 알 권리를 제한하고서라도 기사를 보도한 것은 가상통화 업계와 정부에 경각심을 불러일으키기 위해서다. 거래소들은 수수료로 손쉽게 돈을 벌어들이지만 보안에는 투자를 거의 하지 않고 있다. 정보통신망법상 통신판매업자로 분류된 거래소는 보안 의무 규제가 없는 데다 해킹이 발생했을 때 피해 보상 의무도 지지 않는다.

정부도 뒷짐만 지고 있다. 금융위원회는 “가상통화를 사고파는 것은 금융 거래가 아니기 때문에 보안을 강제할 권한이 없다”고 한다. 과학기술정보통신부는 “정보통신망법은 일반적 규제이기 때문에 거래소에 대한 규제를 강화하려면 다른 부처와 논의를 해야 한다”는 입장이다.

올해부터 대형 거래소에 대해 정보보호관리체계 인증을 의무화했지만 금융회사에 비해 요구되는 보안 수준은 여전히 낮다. 이마저도 대형 거래소 4곳만 적용을 받는다.

세계적으로 가상통화 거래소에 대한 해킹 시도는 갈수록 늘고 있다. 일본에서는 2014년 마운트곡스가 “해킹으로 85만 비트코인(약 5000억 원)을 잃어버렸다”며 파산 발표를 했고, 국내에서는 지난해 12월 유빗이 해킹으로 파산한다고 밝혔다.

소비자 피해를 막기 위해 일본은 등록제, 미국 뉴욕주는 인가제를 통해 거래소를 규제하고 있다. 하지만 정부는 “정부가 인가를 하면 도박장을 허가해주는 꼴”이라고 한다. 이렇게 머뭇대는 사이에 ‘제2의 유빗’ 사고는 언제든지 터질 수 있다.

강유현 기자 yhkang@donga.com