빗썸, 코인이즈, 유빗(구 야피존) 등 암호화폐 거래소에 대한 해킹사고가 잇따르면서 정부가 주요 거래소에 대해 정보보호최고책임자(CISO)를 임명하고 정보보호관리체계(ISMS) 인증을 의무화하는 등 보안대책을 내놨다.
지난 13일 국무조정실장 주재로 개최된 관계부처 차관회의 이후 정부는 20일 이 같은 후속대책을 발표했다.
핵심은 거래소들에 대한 보안책임을 강화하고 사용자 피해를 최소화하도록 하겠다는 것이다.
■ 거래소, CISO 임명하고 ISMS 인증 받아야
국무조정실과 과학기술정보통신부, 방송통신위원회 등 주요 부처가 발표한 후속대책에 따르면 거래소들은 보안취약점을 분석, 개선하는 역할을 수행하는 CISO를 임명해 해킹 위협에 대해 정보를 공유해야한다. 이를 통해 신속한 조치가 이뤄질 수 있도록 핫라인을 구축한다는 계획이다.
또한 암호화폐 거래소가 사이버보안모의훈련에 참여토록했다. 한국인터넷진흥원(KISA) 종합상황실은 거래소 웹사이트 대상 악성코드 유포, 분산서비스거부(DDoS) 공격 등을 모니터링하고 사고 발생시 대응에 나선다.
13일 대책에서 예고된대로 내년부터 빗썸, 코인원, 코빗, 업비트 등 4개 거래소는 ISMS 인증을 의무적으로 받아야 한다. 정보통신망법 제47조에 따라 매출액 100억원 이상, 일평균 방문자수 100만명 이상인 서비스에 대해 ISMS 인증을 의무화하고 있다.
방송통신위원회는 ISMS 인증 의무 대상에서 제외된 중소규모 거래소에 대해서는 자율인증인 개인정보보호관리체계(PIMS), 개인정보보호 인증마크(ePRIVACY Mark)를 받도록 권고할 예정이다.
정부는 거래소들이 인증을 받은 이후에도 매년 사후 점검을 통해 보안성을 점검해 나갈 방침이다.
■ 거래소 서비스 임시 중지할 수도…집단소송·보험가입 의무화 검토
또한 개인정보 유출 등이 사고가 발생했을 경우 방통위가 서비스 임시 중지 조치를 내릴 수 있게 된다.
해킹 등으로 인한 사용자 피해를 최소화하기 위해 집단소송제도, 손해배상 보험·공제가입도 의무화를 검토한다.
방통위는 또한 10개 거래소를 대상으로 현장점검을 실시한 결과, 대부분 접근통제장치 설치·운영, 개인정보 암호화 조치 등 기술적·관리적 보안조치가 미흡한 것으로 확인해 내년 1월 중 정보통신망법을 위반한 거래소에 대해 과징금.과태료 등 행정처분을 내릴 예정이다.
과기정통부는 현장점검 결과를 통해 보안취약점에 대한 개선조치를 취하도록 하고 새로운 취약점을 발굴해 개선토록 권고할 계획이다.
■ 소비자 관련법 위반 여부 점검…은행 본인확인시스템 구축해야
공정거래위원회는 20일부터 3일 간 전자상거래법상 통신판매업 신고를 한 국내 주요 암호화폐 거래소 13곳에 대해 소비자 관련법 위반 여부 현장조사에 나선다.
이를 통해 전자상거래법, 약관법 상 불공정한 내용이 없는지 점검할 예정이다.
추가로 정부는 거래소가 암호화폐를 매매하거나 중개하는 과정에서 불법행위가 없었는지 검찰·경찰을 통해 집중 점검 중이다. 이 과정에서 피해자가 다수이거나 죄질이 중할 경우 구속수사를 통해 엄정대응할 방침이다.
관련기사
- 암호화폐, 해킹에 안전?…유빗은 왜 당했나2017.12.20
- 암호화폐 거래소 '유빗' 해킹…피해자 원금 회수 어려워2017.12.20
- 日, 암호화폐-블록체인 생태계 어떻게 키웠나2017.12.20
- 암호화폐에 하드웨어 지갑이 중요한 이유2017.12.20
이밖에도 관세청 주도로 암호화폐를 이용해 불법환치기를 하는 사례에 대한 실태조사를 하는가 하면 암호화폐 채굴을 위해 산업단지에 불법입주한 사업자들을 단속한다.
금융위원회, 금융감독원은 은행 내에 암호화폐 거래소 사용자들에 대한 본인확인 시스템을 구축해 1월 중 서비스되도록 점검·조치할 계획이다.
