[딜사이트 조아라 기자] 국내 주요 가상자산 거래소 코인원이 불안한 거래 환경으로 골머리를 앓고 있다. 장애 발생에 따른 서버 점검이 지연되면서 내달 신고제 시행에 변수로 작용할 가능성이 제기된다. 정보보호 관리체계(ISMS) 심사 기관인 한국인터넷진흥원(이하 KISA)은 장애 대응이 제때 이뤄지지 않을 경우 인증 유지가 어려울 수 있다는 입장을 밝히고 있다. 

3일 업계에 따르면 코인원은 지난달 18일 트래픽 증가로 장애가 발생한 이후 정기 점검을 두 차례 연기하면서 규제 리스크가 커진 것으로 분석된다. 

카카오의 블록체인 자회사 그라운드X가 발행한 가상자산 클레이튼(Klay) 거래량이 359% 가량 급등하며 투자자가 몰린 게 발단이 됐다. 지난 18일 자정과 오전 11시께 두 차례에 걸쳐 거래가 중단된 데 이어 원화 입금 서비스가 30분 이상 지연되는 현상도 발생했다.

문제는 장애 발생은 물론이고 서버 점검조차 제 때 이뤄지지 않았다는 데 있다. 당초 코인원은 장애 발생 닷새 후인 23일에 정기 점검을 진행할 예정이었다. 이후 24일로 한 차례 연기된 데 이어 3월 4일로 재차 미뤄졌다. 코인원은 이날 새벽 1시부터 6시까지 5시간 동안 서비스 안정화를 위해 서버 점검을 진행할 계획이다.

KISA에 따르면 이 같은 장애 발생과 서버 점검 지연은 ISMS 인증기준 세부점검 항목 중 '성능 및 장애 관리(2.9.2)'에 위배될 수 있다는 분석이다. 해당 항목은 사업자로 하여금 장애 발생 시 탐지·기록·분석·복구·보고 등의 절차를 수립하고 이를 관리하도록 했다. 이에 따라 사업자는 정보시스템 장애를 인지하고 복구 절차를 이행해야 한다. 심각도가 높을 경우 원인을 분석해 재발 방지대책도 마련해야한다.

코인원은 CPU와 메모리, 저장장치 등의 임계치를 정해야 한다. 보유 서버가 어느 정도의 거래량을 감당할 수 있는 지 예측 자료를 확보해야 한다는 설명이다. 나아가 복구 책임자를 지정하고, 장애 유형별로 이를 탐지할 수 있는 관리시스템 등을 수립, 장애를 예방해야 한다.

특히 KISA가 장애 복구 이행 시기를 '즉시'로 명시한 점이 주목할 대목이다. 코인원은 2주 가량 서버 점검을 미루면서 향후 갱신 심사 시 관련 내용을 소명할 가능성을 배제할 수 없는 상황이다. 

KISA의 ISMS 인증 담당 관계자는 "사업자는 서비스의 가용성 보장을 위해 모니터링하고 장애 발생 시 대응을 위한 절차를 수립해 운영할 것을 요구하고 있다"며 "인증 심사 시 이에 대한 사항을 확인하게 됨에 따라 장애가 발생했음에도 관련 대응이 이뤄지지 않을 경우 인증 확득과 유지가 어려울 수 있다"고 설명했다. 

다만 코인원은 지연된 정기 점검이 트래픽 급증으로 발생한 서버 장애와 무관하다는 입장이다. 코인원 관계자는 "지난 2월 출금 임시 점검은 클레이튼 노드의 안정성을 확인하기 위한 것으로, 당시 점검이 필요하다는 상황을 캐치하자마자 진행돼 빠르게 안정화를 찾은 부분"이라고 해명했다. 이어 "원화입금 일시지연은 지난 달 갑작스럽게 가상자산 거래가 활발해지고 입출금이 일순간 몰림에 따라 일시 지연이 발생된 건"이라며 "즉시 서비스 점검이 진행되어 원활하게 마무됐다. 정기적인 서버 점검과는 무관하다"고 덧붙였다.

ISMS 인증은 내달 25일 시행되는 가상자산 사업자 신고 수리의 주요 요건 중 하나다. 가상자산사업자에게 자금세탁방지의무를 부과하는 내용의 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 특금법)' 개정안에 따르면 ISMS 갱신이 거절되거나 인증이 취소될 경우 사업장 운용이 어려워진다.

정부는 기업이 일정한 보안 시스템을 구축해 주요 정보 자산을 보호하라는 취지에서 ISMS 인증제를 운영하고 있다. 전년도 매출액 100억원 이상, 전년도 직전 3개월간 일평균 방문자 100만명 이상인 곳은 ISMS 인증 의무 대상이다. ISMS 인증은 관리과정 5개 분야, 정보보호 대책 13개 분야, 인증기준 104개 분야 등 총 253개 항목을 모두 통과해야 받을 수 있다.

코인원은 지난 2019년 1월 대상 기업에 포함되면서 ISMS 인증을 받았다. 이후 매년 1월 사후 심사를 통과했다. 오는 2022년 1월 유효기간이 만료됨에 따라 갱신심사를 남겨두고 있다. 

최근 신고제를 앞두고 가상자산 거래소들의 서버 장애가 늘면서 ISMS 요건이 강화될 조짐을 보이고 있다. KISA는 심사를 강화해 정보보안 제도의 실효성을 확보한다는 계획이다. 수 년간 논란이 된 'ISMS 무용론'을 의식한 결과로도 풀이된다. 지난해 11월 가상자산 사업자를 대상으로 11개 항목이 강화된 것도 같은 맥락으로 해석된다. 

앞서 언급한 KISA 담당자는 "신규 서비스에서의 안전성 확보와 침해사고·장애 등을 예방할 수 있도록 가상자산 사업자 세부점검 항목을 지속적으로 모니터링하며 개정할 예정"이라고 알렸다. 

코인원 측은 서버 점검 지연에 대해 "소비자의 원활한 거래 안정성 강화를 위해 정기적으로 서비스 점검을 시행하고 있다"며 "최근 급격한 가격상승과 시장 참여자들의 증가가 이어져, 정기 점검으로 인해 불편해질 수 있는 환경을 방지하고자 점검일정을 연기하게 됐다"고 답했다. 이어 "ISMS 인증 심사항목에 모두 부합하여 인증을 획득했고 담당자가 상시 모니터링을 하면서 원활한 서비스 제공을 위해 최선을 다하고 있다"고 덧붙였다.