한국블록체인협회가 진행한 가상화폐거래소 보안성 등 자율규제 심사에서 최근 350억원 규모의 해킹을 당한 빗썸을 포함해 심사 대상 12곳 전부가 합격점을 받으면서 ‘반쪽자리 심사’였다는 지적이 나오고 있다. 협회는 종전 5월 한달로 예정돼 있던 심사 기간을 2달로 늘려 미흡한 부분을 보완시킨 후 참여한 회원사 전부에 대해 ‘적격’ 판정을 내려 논란을 부채질했다.
전하진 블록체인협회 자율규제위원장은 11일 서울 중구 은행회관에서 ‘제1차 자율규제심사 결과 발표’ 기자간담회를 갖고 심사 대상 전원 통과에 대해 “이번 심사 결과가 거래소의 안정성을 반드시 담보하는 것은 아니다”라고 밝혔다. 그는 “이번 심사 결과는 거래소 보안에 있어서 운전면허와 같은 최소한의 요건을 갖췄다는 것이라고 봐야 한다”면서 “면허가 있다고 해서 운전을 잘하는지 못 하는지는 알 수 없다”고 선을 그었다.
심사 결과에 따르면 모든 가상화폐 거래사이트는 자율규제 기준을 충족했는데, 지난달 20일 해킹을 당한 빗썸도 여기에 들어갔다. 통과한 12곳은 DEXKO(한국디지털거래소), 네오프레임, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비코리아 등이다.
당초 14개 거래소가 심사를 받기로 했으나 에스코인과 코미드, 한국암호화폐거래소 등 3개 회사는 빠졌고 네오프레임은 추가로 심사를 신청해 통과했다.
◇ 어디가, 무엇이 문제인지...궁금증만 자아낸 결과 발표
위원회는 이날 간담회에서는 특정 거래소 별 점수나 보안 등급 등은 공개하지 않았다. 특정 거래소에 대한 내용을 공개할 경우 해커들에게 취약점 공개하는 것이기 때문에 말할 수 없다는 입장이었다.
김용대 카이스트 사이버보안연구센터장(전기전자공학부 교수)은 “거래소 간 보안성에 상당한 편차가 존재한다”면서 “잘하고 있는 곳도 있었으나 일부 거래소는 좀 더 투자해야 한다고 생각한다”고 설명했다. 그는 “이번 심사는 체크 리스트를 충족하는지를 확인하는 차원으로, 정성적인 평가는 이뤄지기 어려웠다”고 토로했다.
가령 해킹이 웹을 통해서 발생한 사례가 없었음에도 웹에 대해서만 취약점 점검을 하고 있는 회사 A가 있다. 반면 철저한 점검을 하는 B사는 밑단에 있는 홈페이지 소스코드에 대해서도 취약점 점검을 하고 있었다. 이 같은 차이점이 존재하지만 두 회사 모두 ‘점검’은 수행하고 있기 때문에 적격이라고 확인해줄 수 밖에 없다는 설명이다.
전 위원장은 “자율규제 심사에 참여하지 않고 마음대로 영업하는 거래소도 있는데 스스로 규제를 받겠다고 한 거래소에 대해 부정적으로 말할 수는 없지 않겠느냐”고 말하기도 했다.
◇ 거래소 불평불만에 기간 늘리고...반쪽짜리 심사 비난 피하기 어려워
심사를 신청한 모든 회사들을 통과시키려다보니 태어난 ‘반쪽 심사’라는 논란은 이어지고 있다. 국내 2위 거래소 빗썸이 불과 지난달 해킹을 당한데다, 거래소들이 종종 시세조작 논란에 휩싸이고 있음에도 구체적인 문제점을 공개하지 않았기 때문이다.
기준을 충족하지 못한 거래소들이 ‘과도하다’고 반발해 위원회와 마찰을 빚기도 했다는 이야기도 나왔다. 거래소 입장에서는 돈은 돈대로 쓰는데 심사를 받는 것이 오히려 협회 외부에서 마음껏 운영하는 거래소들에 비하면 역차별이란 주장이다.
전 위원장은 “김 센터장은 거래소의 (보안) 수준을 굉장히 높이려고 했고, 거래소는 아직 영업을 시작하지 않았거나 매출이 확 떨어졌는데 너무 심한 것 아니냐면서 불만을 제기했다”고 털어놓았다.
위원회는 지난 4월 17일부터 서류 접수를 받아 5월 한달간 심사를 하고 결과를 6월에 발표하겠다는 일정이었다. 하지만 심사 기간을 1개월 늘려 6월까지도 심사를 진행하면서 결과 발표도 한달 후인 7월로 미뤄졌다.
김 센터장은 “12개 거래소 가운데 9개 거래소 같은 경우 저희(위원회)가 생각하는 수준과 굉장한 차이가 있었다”면서 “4~5차에 걸쳐 인터뷰를 했던 이유도 결국은 제대로 답을 못 해온, 기본적인 요구조건을 충족하지 않았던 곳에 채워줄 수 있는 시간을 줬기 때문”이라고 말했다.
전 위원장은 “어느정도 스스로 요건을 갖추려는 거래소들에 가점을 줄 수 있어야 한다”면서 “블록체인 생태계를 위해서는 거래소들이 당연히 수준을 높여서 투자자를 보호하고 해킹위험에서 벗어나는 시스템을 갖춰야 하는데 그렇지 않은 상황”이라고 설명했다.