국회입법조사처는 지난 10일 '2020 국정감사 이슈분석집'을 내고 "ISMS 외에 거래소가 고객의 자산을 네트워크와 분리된 콜드월렛(Cold Wallet)에 보관하거나 예치금을 별도로 분리·관리하는 등 추가적인 조치가 필요하다"고 설명했다. 또 "가상자산사업자가 정보보안과 이용자 보호를 강화할 수 있도록 감독권한을 강화하는 별도 법률의 제정을 검토해야한다"고 덧붙였다. 

국회입법조사처가 이처럼 거래소 해킹 방지 조치가 미흡하다고 지적한 이유는 특정금융 거래정보의 보고 및 이용 등에 관한 법률'(특금법) 개정안에서 가상자산 사업자 인가 요건으로 내건 ISMS 인증이 해킹을 막기에는 부족하다고 봤기 때문이다.

실제로 국내에서 거래량이 가장 많은 업비트의 경우 이미 2018년 ISMS 인증 뿐만 아니라 정보보안(ISO 27001), 클라우드보안(ISO 27017), 클라우드 개인정보 보안(ISO 27018) 등 ISO 3개 부문 인증을 동시 획득했다. 또 업비트는 전체 가상자산 중 약 70%를 자체 콜드월렛에 보관하며 프라이빗키를 분산해 운영 중이다. 이처럼 업비트는 거래소 중에서는 높은 보안시스템을 갖춘 편으로 평가받았지만 지난해 590억원에 이르는 이더리움(ETH) 해킹 사고가 발생했다. 

또 다른 거래소인 빗썸도 2018년 ISMS와 ISO 27001, 개인정보보호 관리체계 국제 인증(BS10012) 등을 획득했으며 지난 6월에는 한국인터넷진흥원(KISA)가 주최한 사이버 위기대응 우수기업 선정됐다. 그러나 빗썸에서는 지난해 3월 145억원 가량의 이오스 300만개가 탈취됐고 2017년과 2018년에도 각각 70억원, 150억원 규모의 해킹 사고가 일어났다. 

보안 전문가들은 가상자산 거래소 해킹이 대부분 내부에서 발생한다고 지적한다. 실제로 빗썸과 업비트는 지난해 발생한 도난 사고에 대해 내부자 소행인 것으로 추정했다. 콜드월렛이 아닌 네트워크가 연결된 상태로 가상자산을 보관하는 핫월렛(Hot Wallet)에 저장된 코인을 탈취하기 위해서는 해커가 여러 숫자와 문자 조합으로 이루어진 키 암호를 풀어내야 하는데 이것은 불가능에 가깝기 때문이다. 내부자가 거래소의 키 암호를 알아내 자신의 지갑으로 옮기고 외부로 유출했을 가능성에 무게를 두는 이유다.

이에 업계 전문가들은 ISMS 인증 외에 내부 보안 교육 강화와 해킹 발생 시 사후 대책 마련이 필요하다고 지적한다. 

한 거래소 보안 전문가는 "내부자가 직접 가상자산을 탈취할 경우 이를 막을 방법이 없다"라며 "예를 들어 거래소 직원 등 내부자가 관리자 계정으로 직접 가상자산을 탈취할 수 있고, 업무용 PC로 이메일을 여는 순간 악성코드가 침투해 해커가 관리자 아이디와 암호 등 내부 정보를 수집할 수 있다"고 말했다. 내부 망분리를 철저히 라고 있더라도 한 명의 직원이 잠깐 방심하면 대규모 해킹으로 이어질 수 있다는 설명이다.

김용대 카이스트 사이버보안연구센터 센터장은 "페이스북이나 트위터 등 해외 유명 서비스도 해킹을 당하는 상황에서 완벽한 보안이란 있을 수 없고, ISMS나 ISO 또한 최소한의 '보안 자격증'에 불과하다"라며 "내부 직원 교육이나 해킹 발생 시 투자자 보호 정책 등 여러 분야에서 보완이 필요하다"고 지적했다. 현재로서는 거래소에 해킹사건이 발생했을 경우 가상자산에 대한 투자자 피해 보상·보호 등을 규정한 제도나 법이 없는 실정이다.