고팍스가 정보보호 관리체계(ISMS) 인증 갱신을 완료했다고 14일 밝혔다. 2018년 ISMS 인증을 가상거래소업계 최초 획득한 고팍스는 최근 진행된 갱신 심사를 통과해 인증 유효기간을 2027년 10월까지 연장했다.ISMS 인증은 기업 및 조직이 보유한 정보 자산에 대한 보호 관리체계가 안전하고 신뢰성 있 게 운영되는지 여부를 종합적으로 평가하는 인증제도다. 인증제도는 과학기술정보통신부가 관리, 감독하며, 한국인터넷진흥원(KISA)는 인증기관으로 인증제도를 운영하고 있다.이는 ISMS 관리체계 4개 분야, 보호대책 12개 분야 인증기준 80개(세부항목 282개(가상자산 특화 항목 45개)) 적합성 평가를 모두 통과해야 받을 수 있다. ISMS 인증심사는 국내 최고의 분야별 전문가들에 의해 진행되고 인증심사결과는 인증위원회를 구성하여 심의하게 된다.앞서 고팍스는 기존에 유지 중인 ISO/IEC 27001 국제 표준 정보보호 인증을 지난 7월에 인증 갱신을 완료한데 이어 이번에 정보보호 관리체계(ISMS) 갱신 인증까지 완료하게 됐다.조영중 고팍스 대표는 “고팍스는 이용자보호법 시행 이전부터 건전한 시장질서 확립 위해 임직원 내부통제 강화 및 윤리 의식 제고해 왔으며, 정보보호와 자금세탁방지 및 이상거래 탐지 시스템 강화를 위해 가상자산 거래시스템에 투자해 불공정거래 예방에 적극적으로 노력해왔다”며 “고객의 자산을 보호하고 고객들이 신뢰할 수 있는 최상의 서비스를 제공하고자 앞으로도 최선을 다하겠다”라고 말했다.제도화 이전부터 정보보안부문에 적극적으로 투자해 온 가상자산거래소로 고객이 신뢰하고 안심할 수 있는 거래소 플랫폼과 고객의 개인정보 보호와 시스템의 안정성 확보에 중점을 두고 있다는 게 고팍스 측 설명이다. 고팍스는 이를 위해 정보보안 정책을 수립하는 한편 사내 정보보안의 날, 정보보안 캠페인, 정기적인 정부 주관 모의해킹 훈련 참여 등 직원들이 직접 참여 및 실천하는 보안인식 문화 향상 프로그램을 운영하고 있다.

최근 코인 투자 열풍이 살아나는 조짐을 보이지만, 은행권의 가상자산 거리두기는 계속되는 분위기다. 기존 가상자산 거래소와 실명계정 업무 제휴를 하지 않은 시중은행 중 지난해 새롭게 문을 열어준 은행은 전무했다. 은행권은 배상 준비금 적립 요구, 입출금 제한 등 가상자산 거래 문턱을 오히려 더 높이고 있다. 리스크 관리 차원이라지만, 코인 업계 불신에 따른 결과로 풀이된다. 올해 가상자산 한도계좌 입금 한도 ‘반토막’은행권과 당국에 따르면 은행과 가상자산 거래소간 관계에 큰 변화가 예상된다. 먼저 올해부터 실명계정 운영에서 입금 한도가 큰 폭으로 축소된다. 현재 1금융권에서 가상자산 거래소와 실명계정 제휴를 맺은 은행은 신한은행(코빗), NH농협은행(빗썸), 전북은행(고팍스) 등 3개 은행에 불과하고 인터넷전문은행에서는 케이뱅크(업비트), 카카오뱅크(코인원) 등 2곳이 가상자산 실명계정을 운영하고 있다. 이들 은행은 지난 1일부터 은행연합회가 제정한 ‘가상자산 실명계정 운영지침’에 따라 한도계좌 입금한도를 기존 1일 1000만원에서 500만원으로 축소 통일했다. 케이뱅크의 경우 지난 2022년 8월 1일 최대한도가 5억원이었고 지난해 1000만원으로 줄었는데, 올해 더 줄어 한도가 500만원이 된 상황이다. 은행연합회는 가상자산 실명계정 운영사에 대해 이용자 계좌를 한도계정과 정상계정으로 구분하고 있다. 한도계정의 경우 거래 목적과 자금 원천이 확인될 경우에만 정상계정으로 전환되고 입출금 한도도 높아진다.은행연합회는 이번 조치에 대해 가상자산이 자금세탁의 도관으로 이용될 수 있다는 우려가 높아 가상자산 실명계정에 대한 자금세탁 방지 강화 필요성이 높아졌다고 이유를 밝혔다. 실제로 2022년 금융당국과 수사기관에 의해 가상자산을 현금화한 것으로 보이는 거액의 자금이 무역거래로 가장돼 해외송금된 사건이 적발된 바 있다. 그만큼 은행들 입장에서는 한도를 최대한 낮춰 가상거래를 통한 자금세탁을 미연에 방지할 필요성이 커진 셈이다. 이번에 금액이 축소된 계좌도 한도계좌로, 거래 목적이 불분명한 계좌에 대한 리스크가 줄지 않을 경우 거래 규모 축소가 지속적으로 이뤄질 가능성도 제기된다. 은행권은 여기에서 멈추지 않고 실명계정을 사용하는 거래소에 해킹·전산장애 등으로 부담할 수 있는 이용자에 대한 손해배상책임을 이행할 수 있도록 30억원 이상의 준비금을 적립하도록 했다. 적립금은 2023년 9월부터 시행하고 있다. 여기에다 실명계정 이용자에 대한 고객확인 절차 검증도 강화했다. 30억원 이상의 준비금 적립하도록 하면서 중소형 코인거래소의 경우 실명계정 제휴를 맺고 있지 않은 은행과의 거래가 사실상 불가능해진 것 아니냐는 관측까지 나오고 있다. 금융당국의 가상자산 사업자 상반기 실태조사 결과에 따르면 코인마켓 사업자 21곳 중 10곳은 거래 수수료 매출이 없고, 18곳은 완전자본잠식 상태다. 중소 가상자산 사업자들이 은행과의 실명계정 제휴를 통한 탈출구 마련이 절실한 상황이지만, 은행들이 먼저 30억원을 요구하면서 기존에 형성된 은행과의 ‘갑-을’ 관계는 더 견고해졌다. 실명계정 발급 거리두기 심해질 수도 이번 조치들은 은행업계가 바라보는 가상자산 거래소에 대한 부정적인 반응에 따른 결과로 풀이된다. A은행 관계자는 “은행들은 가상자산 거래소와의 실명계정 관련 제휴 이점이 크지 않다고 보고 있다”며 “실명계정을 통한 자금세탁이 실제로 발견될 경우 해당 은행의 이미지 추락과 함께 감당해야 할 당국 제재 리스크가 너무 크다”고 말했다. 이런 이유로 은행권에서는 앞으로도 실명계정 제휴를 새롭게 맺는 은행이 나타나기 어렵다고 보고 있다. 심지어 기존에 맺은 제휴도 계약이 만료될 시점에 가서 연장하지 않을 가능성도 충분하다고 내다봤다. 현재는 4대 시중은행에서는 신한은행만 가상자산 실명계정을 운영하고 있다. KB국민은행과 하나은행, 우리은행은 동참할 기미는 전혀 나타나고 있지 않다는 게 은행권의 평가다. B은행 관계자는 “가상자산 거래소와의 거래를 그만할 가능성도 높다고 본다”며 “다른 은행들이 실명계정을 주지 않는 이유도 코인 투자를 하는 고객 유입이 필요하다고 여기지 않기 때문”이라고 설명했다. 은행들은 가상자산 고객 예치금 비중도 늘리려 하지 않고 있다. 이 비중을 늘릴수록 리스크 관리 차원에서 국회와 당국으로부터 지적과 감시 대상에 오를 수밖에 없기 때문이다. 국회 정무위원회 소속 김희곤 국민의힘 의원실에 따르면 지난 2022년 말부터 지난해 8월까지 해당 예치금이 확대된 은행은 케이뱅크가 유일했다. 케이뱅크의 업비트 고객 예치금은 이 기간에 2조9050억원에서 3조909억원으로 증가했다. 다만 총 예금 대비 예치금 비중은 같은 기간 19.9%에서 18%로 낮아졌다. 총 예금이 증가했기 때문이다. 케이뱅크 관계자는 “고객이 증가하고, 포트폴리오 다변화가 필요한 상황이기 때문에 비중이 낮아진 것”이라고 설명했다.

2022년도 가상자산(암호화폐) 탈취 피해액 4조3000억원. 보고된 해킹 사례만 130건. 탈(脫)중앙화를 외치며 성장한 가상자산 시장의 민낯이다. 아직 한해가 마무리되지 않았는데도 이미 지난해와 비슷한 규모의 금융 피해가 발생했다. 사이버보안 1위 업체 SK쉴더스의 보안 전문가들은 블록체인을 기반으로 한 가상자산에서 이 같은 대형 피해가 발생하는 이유로 ‘중앙화된 거래소의 운영’을 꼽았다. 심지어 가상자산의 핵심인 탈중앙화 시스템도 ‘완벽한 보안’을 담보하지 않는다고 지적했다. SK쉴더스의 화이트해커 그룹 이큐스트(EQST)는 6일 서울 중구 정동 상연재에서 미디어 세미나를 열고 2023년 보안 위협 전망과 대응 전략을 공유했다. 이큐스트는 국내 최대 규모 화이트해커 그룹으로 매년 이 같은 세미나를 열어 보안 기술의 중요성과 그간 발생한 피해 사례를 소개하고 있다. 이들은 내년 피해가 발생이 예상되는 분야 중 하나로 가상자산 시장을 선정했다. 이호석 SK쉴더스 이큐스트 랩(Lab)장은 이날 세미나에서 “세계 최대 가상자산 거래소인 바이낸스에서 8000억원의 해킹 피해 발생을 비롯해 현재까지 4조3000억원 가량의 탈취가 이뤄진 것으로 파악됐다”며 “가상자산은 탈중앙화를 통한 분산 거래가 원칙이지만, 신원 확인 등의 목적으로 확보한 개인정보를 중앙화해 운영하는 거래소 방침이 원인”라고 말했다. 거래 편의성을 위해 도입한 시스템도 취약점으로 꼽았다. 이 랩장은 “모든 자산을 따로 운용하는 망분리가 이뤄지지 않아 해커가 웹 서버에 침투해 토큰·정보를 획득하는 식의 금융 사고가 벌어지고 있다”고 지적했다. 거래소가 당초 가상자산의 취지와 맞지 않게 플랫폼을 운영, 해킹 취약점을 만들었단 설명이다. 심지어 가상자산의 분산 거래도 해킹에서 자유롭지 못한 것으로 나타났다. 이 랩장은 “8개의 서버를 동시에 해킹하지 않으면 탈취가 사실상 불가능해 가상자산이 안전하다고 알려졌으나, 실제론 그렇지 않았다”며 “과반(5개 이상)의 서버를 해킹해 가상자산을 탈취한 사건이 올해 발생하기도 했다”고 말했다. 분산 거래를 진행하는 여러 대의 서버를 장기간 해킹해 가상자산을 탈취하는 사례가 실제로 일어난 만큼 블록체인 기반의 가상자산 역시 ‘구조적 취약점’을 지니고 있단 설명이다. SK쉴더스 화이트해커들은 이 같은 가상자산 금융 피해가 2023년에도 계속될 수 있고, 피해액 역시 지속적으로 증가할 수 있다고 진단했다. 이미 거래액 측면에서 가상자산은 유가증권 시장 규모를 넘어섰다. 이 랩장은 특히 국내 가상거래 시장에서의 피해가 두드러질 수 있다고 우려했다. 그는 “국내 서비스 특징은 신원 확인을 전제로 거래소가 운영된다는 점인데, 이 때문에 이미 한차례 중앙화 시스템을 거치게 된다”며 “개인정보를 이미 다 서버에 넘긴 후에야 탈중앙화 시스템을 적용하는 구조라 앞면에 배치된 중앙시스템이 해킹당하면 가상자산 탈취가 이뤄질 수 있다”고 했다. ━ 2023년 발생할 주요 보안 이슈는? SK쉴더스는 ‘가상자산 공격 급증’과 함께 ▶다변화된 랜섬웨어 ▶서비스형 피싱 공격(PhaaS) ▶고도화되는 모바일 보안 위협 ▶산업용 사물인터넷(IIoT) 보안 위협 증가 등 2023년 주요 보안 위협으로 선정했다. 랜섬웨어의 경우 더욱 다변화·지능화되고 교묘해질 전망이다. 국내 시장을 타깃으로 한 랜섬웨어는 이미 등장한 상태다. 여기에 데이터 파괴만을 목적으로 하거나 데이터베이스 서버의 취약점만을 노린 랜섬웨어가 발견되는 등 공격 방식이 다각화되는 추세다. SK쉴더스 화이트해커들은 또 피싱 공격 역시 새로운 형태의 플랫폼을 만나 PhaaS의 공격이 거세질 수 있다고 전망했다. 특히 다크웹에서 발견된 ‘카페인(Caffeine)’이라는 피싱 판매 사이트를 필두로 공격이 진행될 수 있다고 분석했다. 이 랩장은 “인공지능(AI) 기술을 악용한 스팸 메일 필터링 우회 등의 기법도 발견되고 있어 피싱 공격에 대한 체계적인 대책 수립이 요구된다”고 말했다. 신종 코로나바이러스 감염증(코로나19) 대유행에 따라 산업 전반에 확산된 무인화·자동화 기기에 대한 위협에도 ‘대비해야 할 지점’으로 꼽았다. 김태형 SK쉴더스 이큐스트 팀장은 “IIoT가 적용된 무인화 산업·제조시설은 다양한 장비를 사용하지만 자산 관리가 미흡하다”며 “보안 위협에 취약한 운영체제를 사용하는 경우가 많아 개인정보 유출이나 랜섬웨어 등의 사이버 공격의 대상이 되기 쉽다”고 경고했다. 이큐스트는 올해 직접 경험한 해킹 사고 사례와 연구 결과를 토대로 이 같은 내년에 발생 가능성이 높은 사이버 보안 위협 분야를 선정했다. 이와 함께 올해 발생한 업종별 사고 사례를 소개하고 취약점 통계 등의 정보도 공개한다. 이큐스트가 꼽은 보안 위협 전망과 대응 전략이 담긴 보고서는 SK쉴더스 공식 홈페이지를 통해 9일부터 확인할 수 있다. 이재우 SK쉴더스 이큐스트사업 그룹장은 “디지털 전환이 가속화되며 사이버 위협이 일상 속으로 깊이 침투해 큰 피해를 불러일으키고 있어 사전 예방부터 대응, 체계적인 보안 관리 등이 전 산업 영역에 걸쳐 필요한 시점”이라며 “기업과 사회에 필요한 실질적인 보안 대책을 마련하는 데 도움이 될 수 있도록 보안 전략 수립과 정보 공유에 앞장설 것”이라고 강조했다. 정두용 기자 jdy2230@edaily.co.kr