거듭된 해킹 이후 야피존에서 유빗, 코인빈으로 이름을 바꾼 가상화폐(암호화폐) 거래소 코인빈이 이번에는 직원 간부의 횡령 혐의가 발생해 파산을 눈앞에 두고 있습니다. 소수의 투자자 피해가 있었다고 하는데요. 코인빈 말고도 코인레일, 코인네스트 등 각종 사건·사고에 휘말린 거래소가 있었죠. 어느 거래소를 써야 할지 알아보겠습니다.
◇해킹에 횡령에…거래소 믿을 수 있나 = 최근 3년간 가상화폐 거래소와 관련된 사건과 사고는 끊이지 않았습니다. 제일 많았던 사고가 해킹으로 인한 코인 분실이었고, 임직원 횡령으로 고객 자산이 분실된 사례도 있습니다.
특히 코인빈은 이미 두 차례의 해킹으로 파산 위기를 맞았던 곳인데요. 이번엔 임직원 횡령 혐의가 발생했습니다.
사실 업계 안팎에선 코인빈 거래소를 쓰는 것에 대해 우려의 목소리가 나오고 있었습니다. 거래소가 두 번이나 해킹을 당한 만큼 보안 기술력이 취약하다는 지적이 있었기 때문이죠.
코인빈은 이번에 해킹이 아니라 회사 간부의 횡령이 의심된다고 스스로 신고했는데요. 보안 전문가들은 수차례 해킹 이후에도 소수의 간부가 임의로 고객 자산을 처리할 수 있었다는 것에 경악했습니다. 아무리 거래소 임원이라 하더라도 독자적으로 또는 소수 인원 몇몇이 고객 자산을 임의대로 빼돌릴 수 없도록 하는 체계가 구축됐어야 한다고 꼬집습니다.
예를 들면 보안 및 운용체계가 잘 갖춰진 곳이라면 임직원별로 그룹을 만들고 각 그룹별 승인이 나야만 대규모 자산을 처리할 수 있도록 하고 있습니다. 이런 점에서 코인빈 사건이 횡령 혐의 직원만의 책임이라기보단, 제대로 시스템을 갖추지 않았던 점에서 대표를 포함한 임원들도 도의적 책임을 피할 수 없을 것 같습니다.
게다가 횡령에 가담한 두 명의 간부가 전 거래소 대표와 간부였습니다. 이들이 거래소 자산을 마음대로 처리할 수 있었던 것은 상상도 할 수 없는 일이라는 지적도 있습니다.
◇최소한의 선택 기준 ‘ISMS’ = 2013년 국내 최초로 코빗이 가상화폐 거래소를 시작한 이후 많은 거래소가 생겼습니다.
2017년 거래소 업계가 많은 수익을 낸 후 지난해 우후죽순으로 생겨났는데요. 어떤 거래소를 써야 이런 사고가 나지 않을까요.
사실 누구도 거래소의 해킹 안전성을 보증할 수는 없죠. 다만 해킹과 횡령 사고를 피하려는 최소한의 노력과 시스템은 있습니다.
정보보안 관련 공공기관인 한국인터넷진흥원(KISA)은 사업체나 기관의 정보보호관리체계(ISMS) 인증 사업을 하고 있습니다.
ISMS는 웹사이트의 보안이 제대로 작동하는지 등 기술적 부분과 인적·물리적 체계에 대해서도 검증하고 있어요.
이를 테면 직원들의 컴퓨터와 고객 자산이 거래되는 서버와 완전히 분리 운영하는지, 소수가 마음대로 고객 자산에 접근할 수 없도록 했는지 등을 꼼꼼하게 따진다고 합니다.
2017년 정부는 매출액 100억 원 이상, 3개월간 하루 평균 방문자 100만 명 이상인 암호화폐 거래소에 대해 ISMS 인증을 의무적으로 받도록 권고했습니다. 이에 해당하는 거래소가 빗썸, 업비트, 코인원, 코빗 4곳입니다. 여기에는 해당하지 않지만, 고팍스도 ISMS 인증을 받았습니다.
업계가 태생한 지 5년이 지났는데요. 여러 위험을 최소화하기 위한 하나의 방법이 될 수 있겠네요. 일부 스타트업 거래소는 ISMS 인증에 고액이 들어간다고 하소연하기도 하는데요. 확인 결과 규모나 절차에 따라 1000만 원에서 1800만 원의 비용이 든다고 하네요. 아무리 스타트업이라 해도 고객의 자산을 다루는 중요한 일에 아낄 돈은 아니겠죠.
◇개인 지갑 보관도 방법 = 한두 번 거래소 해킹을 경험한 사람들은 거래소에 코인을 보관하는 것에 대해 두려움이 생길 수 있죠. 이런 투자자 중 일부는 아예 코인을 직접 보관하기도 합니다. 개인지갑이나 웹 지갑 서비스를 이용하는 것이죠.
이에 맞춰 최근에는 다양한 하드웨어 개인지갑이 판매되고 있어요. 휴대용저장장치(USB)와 비슷한 크기로 휴대에도 부담이 없습니다. 그러나 꼭 알아둬야 하는 게 있어요. 개인지갑에 보관할 땐 개인키(일종의 암호)를 잘 관리해야 합니다. 이를 잃어버리면 보관된 코인도 찾을 방법이 없어요. 또 하드웨어 지갑을 구매할 땐 정식 유통사의 제품이 맞는지 꼭 확인해야 합니다. 잘 알려진 하드웨어 지갑을 흉내 낸 유사제품을 샀다가, 제대로 기능하지 않거나 이를 미끼로 코인을 탈취하는 이들도 있기 때문이에요.