최근 국내 1위 가상자산 거래소인 업비트에서 약 445억원의 가상자산이 해킹되는 사고가 발생한 가운데, 금융 당국이 가상자산 거래소의 보안 예산, 전담 인력 기준을 마련한다. 금융 당국은 정보보호 최고책임자(CISO)를 의무적으로 두도록 하는 방안도 검토하고 있다.
7일 업계에 따르면 금융 당국은 '디지털자산 기본법'을 통해 가상자산 거래소에 보안 의무를 신설하는 방안을 마련 중이다. 금융 당국이 연내 국회 제출을 목표로 준비하는 디지털자산 기본법은 가상자산 사업자, 가상자산 거래, 관련 인프라 등을 한 법률에 포괄적으로 규율하는 것이 목표다. 현행 '가상자산 이용자 보호법'에서 규제하지 못하는 영역까지 아우르기 위한 추가 입법이다. 금융감독원은 가상자산 거래소의 CISO 지정 의무와 보안 예산, 전담 인력 규모 기준을 함께 검토하고 있다.
현재 국내 주요 가상자산 거래소인 업비트, 빗썸, 코인원은 CISO를 두고 있다. 이들은 방송미디어통신위원회가 주도하는 정보통신망법의 적용 대상이기 때문이다. 정보통신망법은 정보통신 서비스 제공자가 CISO를 의무적으로 지정해야 한다고 명시하고 있다. 다만 가상자산 거래소를 감독하는 기관이 금감원인 만큼, 금융 당국은 디지털자산 기본법에 해당 내용을 반영해 관리 수준을 높일 계획이다.
금융 당국이 정보보호를 강화하려는 이유는 가상자산 업계에서 해킹 사고가 빈번하게 일어나기 때문이다. 지난달 27일에는 업비트에서 해킹이 발생해 자산 445억원이 외부로 유출되는 사고가 있었다. 업비트는 모든 입출금을 중단했다가 지난 1일 재개해 수많은 고객이 불편을 겪었다.
이찬진 금감원장은 지난 1일 기자간담회에서 "다른 나라와 비교했을 때 우리나라의 보안 시스템 투자는 형편없는 수준"이라고 비판했다. 이어 "보안이 뚫리면 회사가 망할 수 있는 위험한 수준이란 걸 제대로 인식해야 한다. 보안이 생존을 위한 것임을 인식시키기 위해 자본시장법에 준하는 수준으로 규제를 강화하는 법 개정을 추진하겠다"고 했다.
자본시장법에는 '투자자의 보호가 가능하고 영위하고자 하는 금융투자업을 수행하기에 충분한 인력과 전산설비, 그 밖의 물적 설비를 갖출 것'이라고 명시돼 있다. 금감원 관계자는 "CISO 지정이나 물적 설비 확충 등 가상자산 거래소의 보안 강화 방안을 다각도로 검토하고 있다"고 말했다.