암호화폐 거래소 자율규제 평가, 아쉬움 남는 반쪽 심사
by이재운 기자
2018.07.11 13:59:32
블록체인협회 전하진 자율규제위원장 기자간담회
'안전한 생태계 구축'에 초점, 심사보다는 '컨설팅'
8월 2차심사, 9월 보안 콘퍼런스.."건전성 높일 것"
| 전하진(오른쪽) 한국블록체인협회 자율규제위원장과 김용대 협회 정보보호위원장(KAIST 교수)이 11일 오전 서울 중구 은행회관에서 가진 기자간담회에서 제1차 자율규제심사 결과를 발표한 뒤 기자들의 질문에 답하고 있다. 사진=이재운기자 |
|
[이데일리 이재운 기자] 암호화폐 거래소에 대한 자율규제 심사 결과를 업계가 처음 발표했다. 보안부터 자금 관리, 투명성 강화 조치 등에 대한 자체 평가 결과를 내놨지만, 구체적인 수치나 현황 공개가 빠져 신뢰성 향상에는 부족하다는 평가를 피할 수 없을 전망이다.
한국블록체인협회는 11일 오전 11시 서울 중구 은행회관 국제회의실에서 12개 거래소 사업자에 대한 ‘제1차 자율규제심사 결과발표’ 기자간담회를 열었다.
전하진 협회 자율규제위원장은 “협회의 자율규제는 ‘건강하고 안전한 암호화폐 거래소 생태계’를 구축하고 이용자 보호 방안을 마련하기 위해 준비됐다”며 “이를 바탕으로 일반 부문과 보안성 부문 등 투 트랙(Two-track)으로 평가를 진행했다”고 설명했다.
심사항목은 일반심사(28개 항목), 보안성 심사(66개 항목) 등 총 94개의 심사항목으로 구성돼있다. 일반심사 항목은 △자기자본 20억원 이상 △거래소 이용자에 대한 투자 정보제공 체계 △민원관리 시스템 체계 △이용자 자산 보호 체계 △자금세탁방지 체계 등을 평가했다. 보안성 심사 항목은 △사용자 인증 △네트워크 관리 △서버관리 △월렛관리 △접근관리 △복구 △운영 △개인정보보호 등을 다뤘다.
일반심사에서는 심사를 신청한 12곳 모두 비교적 순조롭게 심사를 통과했다. 반면 보안성 평가에서는 초기 단계부터 보안 수준이 낮은 곳이 많아 심사일정 자체가 한달 이상 미뤄졌다. 당초 5월 말까지 심사를 마치고 결과를 내놓을 계획이었으나 취약점 분석부터 다시 하는 과정에서 시일이 미뤄졌다.
보안성 평가를 맡은 김용대 협회 정보보호위원장(KAIST 전기전자공학과 교수)은 “각 개별 거래소간 편차가 큰 편이었다”며 “12곳 중 9곳이 당초 예상보다 대응 수준이 미비해 보완 요구와 이에 따른 절차 수행으로 시일이 더 소요됐다”고 밝혔다.
이번 심사는 사실상 점검과 컨설팅 차원에서 이뤄졌다. 때문에 미비점을 찾아 이에 대한 기본적인 수준을 갖추게 하는데 초점을 맞췄다. 전 위원장은 “김용대 위원장을 비롯해 보안성을 검토하는 정보보호위원회 위원들이 사실상 ‘컨설팅’ 수준으로 보안 취약점 해결에 주력했다”고 설명했다. 이로 인해 심사에 따른 등급이나 점수를 공개하기 보다는 심사 대상인 12개 업체가 최소한의 안전 장치를 마련했다는 수준에 머물렀다.
또 보안 점검의 경우 각 회원사가 체크리스트 상에 있는 요소 준수 여부만 단순히 표시하는 포지티브 방식으로 진행해 실제 대응수준에 대한 평가가 부족했다고 평가하며 “이후 심사에서는 심층적인 보안 수준을 점검하는 네거티브 방식을 활용할 계획”이라고 덧붙였다.
협회는 이번에 심사를 받지 않은 나머지 11개 회원사에 대해서도 다음달 중 심사를 진행하기로 했다. 또 다음달 정관 개정을 통해 기존 회원사나 신규 회원사는 의무적으로 자율규제에 따른 심사를 통과해야만 회원 자격을 유지할 수 있도록 할 계획이다. 하지만 심사 결과를 공개하는 문제에 대해서는 위원회 내에서도 이견이 있어 확답을 주지 못했다.
이와 함께 △사고 발생에 대비한 단체보험 가입 △9월 중 보안 콘퍼런스 개최 등도 계획하고 있다. 최종관 협회 사무총장은 “단체보험의 경우 한화손해보험, 현대해상, DB손해보험 등이 제안서를 제출했으며, 최종 사업자 선정 후 개별 거래소 업체가 보험 설계를 진행한다”고 설명했다. 김 위원장은 “보안 콘퍼런스를 통해 내부자 통제부터 전반적인 체계에 대한 종합적인 정책을 수립할 수 있도록 돕겠다”고 강조했다.
전 위원장은 “이번 심사를 받은 12곳이 오히려 자율규제를 먼저 적용하며 다른 중소사업자에 비해 ‘차별’을 받고 있다고 느낀다는 반응을 보여 이에 대한 고민을 계속하고 있다”며 “세계적으로 암호화폐 거래소에 대한 해킹 공격 시도가 증가하는 만큼 향후 심사에서는 사후대응과 같은 절차적인 부분에 대한 심사 요소도 추가할 계획”이라고 말했다.
▲제1차 자율규제심사 참가 회원사=DEXKO(한국디지털거래소), 네오프레임, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인 코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비 코리아(총 12개)