• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

암호화폐 거래소의 보안 자정노력 ‘자율규제’ 성과와 한계 2018.05.30

한국블록체인협회가 밝힌 투 트랙 자율규제...연이은 악재에 신뢰성 위기
김용대 위원장, 암호화폐 전문가와 정보보호 전문가가 만든 자율규제...믿어 달라

[보안뉴스 원병철 기자] 정부의 암호화폐 거래소 압박을 피하기 위해 업비트와 빗썸 등 빅4를 포함한 23개 암호화폐 거래소 연합체인 한국블록체인협회가 자율규제안을 발표하는 등 자정노력을 기울여 왔지만, 국내 최대 암호화폐 거래소였던 업비트가 압수수색을 당하는 등 연이은 악재로 위기를 맞고 있다.

[이미지=iclickart]


지난 4월 17일 한국블록체인협회가 발표한 자율규제안은 크게 ‘일반 심사’와 ‘보안성 심사’로 구분된다. 일반 심사는 거래소의 재무정보 체계나 민원관리 시스템 체계, 이용자 자산 보호 체계 등 거래소 운영에 대한 전반적인 규제를 다루며, 보안성 심사는 거래소의 보안성을 심사한다.

최소한의 보안성 요구 기준을 담은 자율규제 ‘보안 체크리스트’
보안성 심사를 주도하는 정보보호위원회(위원장 김용대 카이스트 교수)는 ‘최소한의 포지티브 규제와 최대한의 네거티브 규제’를 대원칙으로 최소한의 보안성 요구 기준을 담은 ‘자율규제 보안 체크리스트’ 심사와 실제 보안문제점 점검을 통한 ‘보안 평가’를 진행한다고 밝혔으며, 지난 5월 8일부터 31일까지 보안성 심사를 진행할 계획이었다.

하지만 본지가 취재한 결과 5월 한국블록체인협회가 진행했던 자율규제심사 중 보안성 심사 프로세스는 포지티브 규제인 ‘자율규제 보안 체크리스트’만 진행됐으며, 네거티브 규제인 ‘거래소 보안 평가’는 진행되지 못한 걸로 확인됐다.

이에 대해 김용대 위원장은 “고객의 재산 등 지켜야할 것이 많기 때문에 모든 회원사가 투 트랙으로 진행되는 보안성 심사를 수용했다. 하지만 네거티브 규제인 거래소 보안 평가의 경우 ISMS에 준하는 심사인 만큼 회원사들도 준비할 것이 많고, 은행의 계좌발급이 이뤄지지 않아 실제 거래를 하지 못한 회원사들은 심사를 할 수 없어 이번에는 포지티브 규제만 시행됐다”고 설명했다.

투 트랙의 보안점검 중 보안 체크리스트의 경우 그 진정성에 의문을 표하는 사람들이 많다. 단순 체크리스트만으로 보안이 제대로 적용됐는지 확인이 될 수 있는지도 의문이거니와 체크리스트와 실제가 다를 경우도 있을 수 있다는 지적이다.

이에 대해 김용대 위원장은 우려에 대해 일정부분 수긍하면서도 협회 차원의 대책을 마련했다는 입장을 밝혔다.

“사실 체크리스트 기반의 포지티브 자율규제는 반대의견이 있었습니다. 사이버 세상의 공격과 방어라는 게 사실 똑같은 게 있을 수 없기 때문입니다. 인프라가 다르고 구현하는 방식도 다릅니다. 사이버 공격의 포인트 역시 달라질 수밖에 없죠. 하나의 잣대로 일괄적인 평가를 내릴 수 없다는 말입니다. 게다가 똑같은 보안장비를 구축했다할 지라도 운영하는 방식과 담당자에 따라서 보안성이 달라질 수 있다는 점도 생각해야 합니다. 다만, 체크리스트를 통해 기본적인 보안을 갖췄는지 스스로 확인할 수 있고, 암호화폐 거래소들이 미처 몰랐던 것을 마치 가이드라인처럼 알려준다는 점에서 나름의 효용성이 있다고 생각합니다. 또 단순히 체크리스트 작성에서 끝나는 것이 아니라, 이를 바탕으로 정보보호위원회가 직접 심사를 진행함으로써 사실여부 확인과 지원해 주는 방안도 진행하고 있습니다.”

실제 보안문제점 점검을 통한 ‘보안 평가’

▲한국블록체인협회 김용대 정보보호위원장/카이스트 교수[사진=보안뉴스]

이번에 시행되지 못한 네거티브 규제인 거래소 보안 평가에 대한 의문을 제기하는 입장도 있다. ISMS에 준한다고 하지만 이를 점검할 정보보호위원회 위원들이 모두 정보보호 전문가들이기 때문에 물리적·관리적 보안 측면은 미흡할 수 있다는 지적이다. 게다가 포지티브 규제를 통과한 거래소에는 ‘한국블록체인협회 회원사 자격’을 주지만, 네거티브 규제를 통과한 거래소는 협회 자체 ‘적합판정인증’만 부여돼 큰 이득이 없다.

이러한 우려에 대해서도 김용대 위원장은 안심해도 된다는 답변을 내놓았다. 우선 체크리스트 상에 관리자 계정 접근에 대한 별도의 인증처리(예 : 스마트카드)나 휴대용 저장매체(예 : USB) 보안조치, 거래소 주요장비 및 시설에 대한 물리적 보안대책(예 : CCTV) 등의 내용이 담겨 있고, 정보보호의 경우 최근 발의된 암호화폐 거래소 입법안에서 제시한 안보다 자율규제가 더 강력할 정도로 철저하게 만들었다는 얘기다. 그만큼 회원사들의 의지가 강하다는 것.

“미국을 예로 들면, IoT 산업 등 자율규제 제도가 잘 진행되고 있습니다. 새로 생긴 업종은 정부보다 해당 업종의 종사자들이 더 잘 아니까요. 물론 스스로 잘한다고 말해봐야 믿음이 없기 때문에 관련 전문가들과 함께 체크리스트나 자체 심사를 통해 자율규제를 시행하는 겁니다. 그래야 고객의 신뢰를 얻을 수 있기 때문이죠. 한국블록체인협회와 정보보호위원회 역시 마찬가지입니다.”

100% 완벽한 보안은 있을 수 없지만, 보안 전문가들이 모여 발생할 수 있는 모든 위협을 막기 위해 최대한의 노력은 할 수 있으며, 그 노력이 이번 한국블록체인협회의 자율규제라는 것. 결국 궁극적인 목표는 고객들이 믿고 거래할 수 있는 환경의 거래소를 만드는 것이라는 김용대 위원장은 첫 걸음을 떼고 있는 이번 자율규제를 믿고 지켜봐 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>