한겨레

정부가 빗썸, 코인원 등 대형 가상화폐 거래소에 대해 정보보호관리체계(ISMS) 인증을 조속히 이행해줄 것을 요청하는 등 가상화폐 거래소에 대한 보안강화 대책을 내놓았다. 하지만 이는 가상화폐 거래소에 대해 일반 인터넷사이트와 같은 수준의 규제를 적용한 것이어서 여전히 미흡하다는 지적이 나온다.

20일 과학기술정보통신부와 방송통신위원회는 가상화폐 거래소 유빗의 파산과 관련해 ‘사이버보안 및 개인정보보호 체계 강화’ 대책을 내놓았다. 이는 지난 13일 발표된 ‘가상통화 관련 긴급대책’의 후속조처 성격이다.

과기정통부는 우선 “이날 빗썸, 코인원, 코빗, 업비트 등 4개 거래소에 대해 내년도 ISMS 인증 의무대상임을 통보하고 보안 강화의 시급성을 감안해 조속히 인증을 이행해줄 것을 요청했다”고 밝혔다. 이는 지난 13일 대책에 들어가있던 내용으로 조속이행을 요청했다는 내용이 추가됐다. ISMS는 정보통신망 이용촉진 및 정보보호에 관한 법률(정보통신망법)에 규정된 제도로, 정보보호 체계의 적절성을 평가·인증하는 제도다. 전년도 매출액 100억원 이상, 하루 이용자수 100만명 이상인 경우 의무대상자가 되는데, 국내 가상화폐 거래소들은 거래가 활발해진지 몇달 되지 않아 올해까지는 해당되지 않았다. 내년에는 네 군데 거래소가 확실히 의무대상자가 될 것으로 보고 이를 앞당겨 요청한 것이다.

방통위는 ISMS 인증 의무대상에서 제외된 중소규모 거래소에 대해 ‘개인정보보호 관리체계(PIMS)’ 및 ‘개인정보보호 인증마크(ePRIVACY Mark)’ 지원을 통해 개인정보보호 수준을 제고해나갈 예정이다. 두 제도는 모두 자율인증 제도다.

앞서 과기정통부가 지난 9~11월 이번에 파산한 유빗을 포함해 국내 가상화폐 10곳에 대해 보안점검을 실시한 결과 10곳 대부분이 접근통제장치 설치·운영, 개인정보의 암호화 조치 등 관리적·기술적 보안조치가 미흡한 것으로 나타나 개선 권고를 한 상태다. 방통위는 오는 1월 정보통신망법 등 법규위반이 있는 거래소에 대해서는 과징금·과태료 등 행정처분을 엄격히 실시할 예정이다.

이와 함께 과기정통부는 거래소가 내부적으로 정보보호대책 마련, 보안취약점 분석·개선 등의 역할을 수행하는 정보보호최고책임자(CISO)를 지정한 뒤 정부에 신고하도록 할 계획이다. 방통위는 사업자 책임 강화를 위해 개인정보 유출 등 지속적 법규위반 사업자에 대해서는 서비스 중단을 명령하는 ‘서비스 임시 중지조치 제도’를 도입하기로 했다. 또 개인정보 유출시 과징금 부과기준을 올리는 한편, 피해자 구제를 위해 집단소송제도, 손해배상 보험·공제 가입 의무화 도입도 검토하기로 했다.

현재 가상화폐 거래소들은 전자상거래법상 ‘통신판매업자’, 정보통신망법상 ‘정보통신서비스제공자’로 규정돼, 이 두 법에 의해서만 규제를 받는다. 방통위 관계자는 “현행법상에서는 가상화폐 거래소를 규율할 수 있는 근거는 이 두 가지밖에 없다”며 “이번에 내놓은 보안대책은 정보통신망법에 의거한 것인데, 은행 등 금융기관들보다는 보안 수준 등 규제가 더 약하다”고 말했다. 하지만 가상화폐 거래소는 직접 돈이 거래되는 사이트여서 금융기관 수준의 규제를 적용해야 한다는 지적도 일각에서 제기되고 있다. 지난 15일 거래소 14곳이 모인 한국블록체인협회 준비위원회는 협회 회원 자격을 자기자본금 20억원, 금융기관에 준하는 정보보안시스템이나 내부프로세스, 정보보호인력을 운영할 수 있는 곳으로 제한하는 등의 자율규제안을 발표한 바 있다.

안선희 기자 shan@hani.co.kr