[단독] 가상화폐거래소 보안심사, 손쉬운 '방통위' 기준 적용

기사입력 : 2018년07월15일 06:15

최종수정 : 2018년07월15일 17:07

은행 증권사 등 금융사가 쓰는 금융위 기준 '배제'
클라우드 보안심사도 없고...보안테스트도 느슨

[편집자] 이 기사는 7월 13일 오후 3시50분 프리미엄 뉴스서비스'ANDA'에 먼저 출고됐습니다. 몽골어로 의형제를 뜻하는 'ANDA'는 국내 기업의 글로벌 성장과 도약, 독자 여러분의 성공적인 자산관리 동반자가 되겠다는 뉴스핌의 약속입니다.

[서울=뉴스핌] 김지완 기자 = 한국블록체인협회가 가상화폐 거래소의 보안성 심사를 하면서 금융위원회 등이 제시한 기준이 아닌 방송통신위원회 기준을 준수하는지를 점검한 것으로 확인됐다. 그 결과 심사를 받은 12개 거래소 전부가 합격 판정을 받았다. 합격한 거래소 중에는 최근 해킹을 당해 피해를 입은 '빗썸'도 포함됐다.

이에 업계에서는 깐깐한 금융위 등의 기준 대신 상대적으로 쉬운 방통위 기준으로 심사해 보안 점검이 느슨한 것 아니냐는 지적이 나오고 있다.

블록체인협회는 지난 11일 제1차 자율규제심사 결과를 발표하며 보안성 심사항목 리스트를 공개했다. 심사 항목 중 하나인 개인정보보호 부문의 점검 항목에 '방송통신위원회 개인정보의 기술적·관리적 보호조치 기준 준수 여부'라고 명시돼 있다.

반면 국내 은행 보험 증권 등 금융회사는 지난 2016년 12월 개정된 금융위원회·금융감독원·행정안전부의 '금융분야 개인정보보호 가이드라인'(이하 금융위 가이드라인)을 따르고 있다.

한국블록체인협회 암호화폐 거래소 회원사 일반 심사 및 보안성 심사항목 리스트 중 5페이지[자료=한국블록체인협회]

◆ 금융위 기준 대비 방통위 기준 '보안강도' 약해...분량도 3배 차이

방통위 기준과 금융위 가이드라인은 내용에서 큰 차이를 보이고 있다.

우선 분량부터 다르다. 금융위 가이드라인은 335페이지에 이르지만, 방통위 가이드라은은 해설서 내용을 포함해 105페이지에 불과하다. 특히 방통위 가이드라인은 질의응답(Q&A), 해설, 사례 등을 제외한 전문은 달랑 4페이지다.

금융분야 개인정보보호 가이드라인[자료=행정안전부]

금융위 가이드라인에는 △개인(신용)정보 수집·이용·제공 △고유식별정보 및 민감정보의 처리 △개인(신용)정보의 안전한 관리 △개인(신용)정보의 파기 △개인(신용)정보의 유출(누설)시 조치 방법 △신용정보관리·보호자 및 개인정보 보호책임자 지정 △영업양도·양수에 따른 개인(신용)정보 이전 등 내용이 상세히 제시돼 있다.

하지만 방통위 기준에는 이같은 내용이 없다. 방통위 기준은 이보다 강도가 약한 △내부관리계획의 수립·시행 △접근통제 △개인정보의 암호화 △악성프로그램 방지 △개인정보 표시 제한 △접속기록 위·변조 방지 등만 열거돼 있다.

즉, 은행 실명계좌 등 원화 입출금 정보를 보유한 4개 가상화폐 거래소가 고객정보 관리를 느슨한 방통위 기준으로 하고 있다는 얘기다. 나머지 거래소도 향후 영업상의 어려움 등으로 문을 닫을 경우 개인정보 이전 등에 대한 메뉴얼이 없다는 것.

보안업계 관계자는 "시중 은행들은 금융위 기준 적용을 통해 보안을 강화해 온 결과, 과거 일부 은행이 고객정보가 유출된 적이 있어도 실제 '돈'이 털린 적은 없다"고 강조했다.

◆ 클라우드 항목은 점검 항목에서 빠져

블록체인협회의 보안성 심사 항목에서 '클라우드' 관련 항목이 빠진 것도 문제라는 지적이다.

익명을 요구한 보안업계 관계자는 "해킹사건을 겪은 '빗썸'과 해킹사건으로 의심받는 '업비트'의 경우 클라우드로 서비스가 이뤄지는데, 클라우드 관련 보안심사 항목은 찾아볼 수 없다"고 지적했다.

국내 최대 가상화폐 거래소 '업비트'는 클라우드 1위 업체인 아마존웹서비스(AWS)를 사용중이다. 업비트는 오픈 때부터 AWS를 사용해왔다. 또 7~8개 이상의 거래소가 AWS 고객사를 두고 있는 것으로 알려졌다.

해킹사고를 겪은 빗썸은 작년말 서버 마비 현상과 관련해 "과도한 부하로 클라우드 플레어(Cloud Flare) 측에서 발생한 지연 현상"이라고 설명했다. 클라우드 플레어는 클라우드 서비스를 제공하는 미국 기업이다.

당초 업계에서는 '안랩' 같은 대형 보안회사와 화이트 해커를 동원해 서버 해킹을 시도해보는 수준의 보안테스트를 기대했다. 하지만 이번 보안성 심사는 이같은 방식을 적용하지 않았다.

보안심사를 총괄한 김용대 정보보호위원장은 심사 총평에서 "일부 거래소는 굉장히 많이 미흡한 상태"라면서 "고쳐야 할 부분을 거래소에게 부탁을 했던 것만으로도 굉장히 큰 성과"라고 자평했다. 이어 "네거티브(Negaitve, 포괄적 허용) 심사를 하고 싶었지만 못했다"고 덧붙였다.

협회는 각 거래소로부터 체크리스트에 대한 답변을 받고, 보안담당자를 인터뷰(면접)하는 방식으로 보안심사를 진행했다. 김 위원장은 답변이 만족스럽지 못할 경우, 만족스러운 답변이 나올 때까지 4~5차 면접을 실시했다고 밝혔다.

swiss2pac@newspim.com

[관련기사]

GAM - 해외주식 투자 도우미

가이드와이어 사상최고가 ② 손해보험 디지털 혁신의 선두주자

가이드와이어 사상최고가 ① 1년새 99% 폭등한 숨은 보석

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

이화영, 대법서 징역 7년8개월 확정 [서울=뉴스핌] 홍석희 기자 = 쌍방울 그룹에서 수억원대 뇌물을 받고, 800만 달러를 북한에 송금한 혐의로 기소된 이화영 전 경기도 평화부지사가 징역 7년 8개월을 확정 받았다. 대법원 2부(주심 박영재 대법관)는 5일 오전 특정범죄가중처벌등에관한법률위반(뇌물) 등 혐의로 재판에 넘겨진 이 전 부지사에게 징역 7년 8개월을 선고한 원심을 확정했다. 쌍방울 그룹에서 수억원대 뇌물을 받고, 800만 달러를 북한에 송금한 혐의로 기소된 이화영 전 경기도 평화부지사가 징역 7년 8개월을 확정 받았다. 사진은 이 전 지사가 지난해 10월 2일 오전 서울 여의도 국회 법제사법위원회에서 열린 박상용 수원지검 부부장검사에 대한 탄핵소추 사건 조사 관련 청문회에서 정청래 법사위원장 질의에 답변하는 모습. [사진=뉴스핌 DB] 이 전 부지사는 이재명 대통령이 경기지사이던 2019년, 쌍방울로 하여금 도지사 방북 비용 300만 달러와 북한 스마트팜 사업 비용 500만 달러 등 총 800만 달러를 북한 측에 보내도록 한 혐의로 기소됐다. 경기도 평화부지사, 경기도 산하기관인 킨텍스 대표로 재직 중 쌍방울로부터 법인카드와 차량 등 3억3400여만 원의 정치자금을 제공받은 혐의도 받았다. 검찰은 이중 2억5900여만 원에 대해 뇌물 혐의를 적용했다. 1심은 이 전 부지사의 혐의 대부분을 유죄로 판단해 정치자금법 위반 징역 1년 6개월, 특가법상뇌물 및 외국환거래법 위반 등 징역 8년을 합해 총 징역 9년 6개월을 선고했다. 1심 재판부는 쌍방울이 경기도 스마트팜 사업비(500만 달러)와 당시 경기지사였던 이 대통령의 방북비용(300만 달러)을 대납하려 했다는 검찰 측 판단을 모두 받아들였다. 다만 검찰이 공소사실에 적시한 총 800만 달러 중 394만 달러만 해외로 밀반출된 불법 자금으로 인정했다. 2심은 1심 판결을 파기하고, 징역 7년 8개월 및 벌금 2억5000만원, 추징 3억2595만 원으로 감형했다. 구체적으로 정치자금법 위반 혐의에 대해서는 징역 8개월을, 특가법상뇌물 및 외국환거래법 위반 등 혐의에 대해서는 징역 7년을 각각 주문했다. 1심 형량과 비교해 1년 10개월이 감형됐다. 2신 재판부는 1심과 마찬가지로 검찰이 기소한 대북송금 800만 달러 가운데 394만 달러만 북한 측에 밀반출됐다며 유죄로 판단했다. 특히 이 중 200만 달러는 김 전 회장이 이재명 당시 경기지사의 방북비용으로 대납한 것이라고 봤다. 다만 "뇌물죄, 정치자금법 위반죄 범행 후 공무원 또는 정치인으로서 부정한 행위까지 나아가지는 않은 점, 스마트팜은 인도적 지원 사업이었고 남북간 평화조성을 위한 남북교류협력사업의 추진이라는 정책적 목적도 있는 점, 김성태가 쌍방울그룹의 대북사업 추진 등 이익을 도모한 사정도 있고 피고인이 김성태에게 비용 대납을 강요한 사정은 없는 점 등을 유리한 양형으로 고려했다"고 감형 이유를 설명했다. 검찰과 이 전 부지사 측 모두 판결에 불복해 상고했으나 대법원은 양 측의 주장을 모두 받아들이지 않았다. 대법원은 "원심의 유죄 부분 판단에 필요한 심리를 다하지 않은 채 논리와 경험의 법칙을 위반해 자유심증주의 한계를 벗어나거나 검사의 사전면담 등이 이루어진 증인의 법정진술의 신빙성 판단, 유죄의 인정에 필요한 증명의 정도, 뇌물수수죄에서 직무관련성, 대가성, 뇌물귀속 주체와 고의, 정치자금 부정수수죄에서 정치자금과 고의 등에 관한 법리를 오해하는 등으로 판결에 영향을 미친 잘못이 없다"고 판시했다. hong90@newspim.com 2025-06-05 10:45

사진

외교부 장관 김현종·조현 거론 [서울=뉴스핌] 지혜진 기자= 인수위원회 없이 출범하는 새 정부는 민생 회복과 함께 대미 관세 협상 등 외교·안보 문제도 시급하다. 미국 법원에서 도널드 트럼프 대통령이 주요국을 대상으로 부과한 상호관세 효력을 정지시켰지만 여전히 통상 환경의 불확실성이 가신 것은 아니다. 지난 4일 당선된 이재명 대통령은 "국익 중심의 실용 외교" 강조해왔다. 민주당 공약집을 보면 통상환경의 변화와 경제안보 중요성에 대응하기 위해 주요 20개국(G20)·주요 7개국(G7) 등의 적극 참여를 통해 글로벌 현안 적극 대응하고 2025 경주 APEC 성공적 개최를 위한 외교역량을 강화할 것을 약속했다. 신남방·신북방 정책을 계승 발전해 글로벌 사우스와 권역별 협력을 심화하고 핵심소재·연료광물의 공급망(GVC) 안정화를 위한 통상협력 강화도 약속했다. (왼쪽부터) 김현종 더불어민주당 선대위 외교안보특보, 위성락 민주당 의원, 조현 선대위 국익중심실용외교위 공동위원장, 안규백 의원. [사진=뉴스핌DB] 북핵 대응으로는 한국형 탄도미사일 성능과 한국형미사일방어체계(KAMD)를 고도화를 내세웠다. 핵무장이나 핵잠재력 확보에 대해서는 언급하지 않았다. '북핵 대응의 기본 원칙은 한·미 확장억제 강화'라는 기존의 기조를 이어갈 것으로 예상된다. 국방 분야에서는 국방 문민화를 비롯해 군 정보기관 개혁, 육·해·공군 참모총장 인사청문회 도입 등을 내세웠다. 이 대통령은 취임 첫날 국가안보실장에 위성락 민주당 의원을 임명했다. 주러시아 대사를 지낸 외교관 출신인 위 의원은 '이재명 후보 외교안보보좌관'으로 임명돼 활동했다. 이번 대선에서는 민주당 선대위 산하 '동북아평화협력위원회' 좌장을 맡았다. 외교부 장관 후보군으로는 조현 전 외교부 1차관과 김현종 전 청와대 국가안보실 2차장이 언급된다. 조 전 차관은 선대위에서 국익중심실용외교위원회 상임공동위원장을 맡았다. 위 의원과 외무고시 13기 동기로 유엔대사, 외교부 다자외교조정관, 외교부 국제기구국장 등을 역임했다. 김 전 차장은 대선 기간에도 '이재명 후보 외교안보보좌관' 자격으로 백악관 고위 당국자들과 만나 한미동맹과 한미일 3국 협력을 강화해야 한다는 이 후보의 입장을 전달하기도 했다. 국방부 장관 자리에는 군 출신이 아닌 5선의 안규백 민주당 의원이 유력하다. 이 대통령은 후보 때부터 군에 대한 '문민 통제'를 강조해 왔다. heyjin@newspim.com 2025-06-05 06:00