[딜사이트 김가영 기자] 대형거래소와 중소형거래소의 보안 시스템에 차이가 있는 것으로 나타났다. 거래소들이 사업자 인가를 받기 위해서는 모두 같은 조건에서 정보보호관리체계(ISMS)인증을 받아야하지만 실제로는 월렛 보안 시스템이 서로 달라 코인 전송 시 오류가 발생하고 있다.

29일 특정금융정보거래법(특금법) 개정안에 따르면 가상자산 사업자는 한국인터넷진흥원(KISA)이 진행하는 ISMS인증을 필수적으로 받아야 한다. KISA 측은 지난해 11월 기존 ISMS 점검 항목에 가상자산 사업자에 특화된 56개의 항목을 더 추가했다. 추가된 항목에서는 멀티시그(Multi-sig, 다중서명)관련 내용이 수 차례 언급됐다. 

멀티시그란 가상자산을 보관하는 전자지갑의 개인 암호키를 3개로 나눠 만들고, 이 중 2개 이상의 열쇠를 이용하면 스마트컨트랙트를 통해 출금이 이뤄지는 방식이다. 해당 키를 가지고 있는 사람이 전부 해킹 당하지 않는 한 전자지갑을 열 수 없는 구조라 안전하다는 평가를 받는다. 

추가된 항목에는 구체적으로 ▲멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 2인 이상의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능 등을 활용해 보안이 강화된 안전장치를 적용했는지 ▲월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용했는지 ▲신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하는지▲설계단계에서 도출한, 가상자산 월렛 관련 상세 보안요구사항(멀티시그 적용, 공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신, 거래결과 확인방법 등)을 근거로 이행여부를 확인하기 위한 시험을 수행하는지 ▲이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하는지 등의 내용이 포함됐다.

문제는 업비트, 빗썸, 코인원 등 대형거래소는 멀티시그 기술을 제한적으로만 적용했다는 점이다.

일반적으로 거래소에서는 비트코인과 이더리움, ERC-20 기반 토큰에 한해 멀티시그를 지원한다. 그러나 최근 멀티시그 기술이 적용된 거래소에서 업비트, 빗썸, 코인원 등으로 전송할 때 입금처리가 이루어지지 않는 오류가 발생하고 있다. 대형거래소들은 멀티시그 기능을 갖췄다고 홍보하고 있지만 구체적으로 어떤 코인에 대해 멀티시그를 적용했는지 공개하지 않았다. 이에 따라 거래소들이 비트코인 한 종류에 대해서만 멀티시그를 지원하는 것 아니냐는 의혹이 제기된다. 

이 뿐만 아니라 멀티시그 지갑에서 코인을 전송할 때 발생하는 '인터널트랜잭션' 감지 기능도 없어 코인 입금이 잘 이루어지지 않는 것이라는 의견도 있다. 자동적으로 트랜잭션을 인식하지 못하기 때문에 시간이 오래걸리고, 투자자가 고객센터에 문의를 해야만 입금처리가 되는 경우도 발행한다는 설명이다.

국내 블록체인 기술 업체 관계자는 "멀티시그는 스마트컨트랙트를 이용하는데, 이 지갑을 구축하는데 한 개당 1만원~3만원 정도의 비용이 든다. 수백만명의 회원을 두고 있는 거래소가 한꺼번에 멀티시그 지갑을 구축하기 위해서는 금액이 만만치 않을 것"이라고 말했다. 또 "멀티시그가 없다고 해서 ISMS 인증에는 영향을 주지 않는다. ISMS 인증 항목 중에 가상자산사업자는 주요 코인 지갑에 멀티시그를 적용하거나 그에 준하는 체계를 갖추도록 하고 있기 때문"이라고 설명했다.

반면 중소형 거래소들은 ISMS인증을 위해 일부러 외부업체와 손잡고 멀티시그를 구축한 상태다. 멀티시그 자체는 사업자 의무사항이 아니다. 그러나 ISMS 항목에서 5회 이상 언급했기 때문에 사업자 인가를 준비하고 있는 업체들은 거의 의무사항이나 다름없다는 입장이다. 

한 가상자산 거래소 관계자는 "최근 중소형 거래소들이 해치랩스를 비롯한 보안기술 기업과 지갑솔루션 계약을 맺는데, ISMS 요건 이행을 위해서다"라며 "대형거래소 만큼의 자금력이 뒷받침되는 것도 아닌데 비용을 들여 시스템을 구축했다. 그런데 대형거래소는 멀티시그는 커녕 인터널트랜잭션 감지 기능조차 마련하지 않았음에도 계속 ISMS 갱신이 이루어지는 것이 이해되지 않는다"고 토로했다.