일본에서 역대 최대 규모의 가상통화 해킹 사고가 일어나 가상통화 투자의 안전성 논란이 다시 불거지고 있다. 특히 우리나라 가상통화 거래소의 경우 기본적인 보안시스템마저 갖추지 못한 곳이 많은데다 해킹을 당해도 고객 손해를 책임지지 않겠다고 밝히고 있어 투자자 피해가 우려된다.
일본 가상통화 거래소 코인체크는 지난 26일 가상통화의 일종인 ‘넴’(NEM) 580억엔(약 5659억원)어치가 외부에서 시도한 부정 접속으로 유출당했다고 밝혔다. 가상통화 보관 데이터는 인터넷에 접속하지 않고 분리 보관해야 하는데 코인체크는 넴 보관분과 송금분을 모두 인터넷에 접속해둔 상태였다. 가상통화 거래소의 해킹 도난 사건은 2011년 이후 한국 3건을 포함해 세계적으로 30여건이 발생한 것으로 추정된다.
특히 국내 거래소들은 접근통제 장치 등 기본적인 보호 시스템조차 갖추고 있지 않아 언제든 해킹의 대상이 될 수 있다고 전문가들은 지적한다. 방송통신위원회가 지난 24일 발표한 국내 대형 가상통화 거래소의 보안 실태를 보면, 8개 업체 모두 정보통신망법을 위반했다. 코빗은 개인정보처리시스템 침입 차단·탐지 시스템을 운영하지 않았고, 코인원 등은 계좌번호 암호화 저장 등을 하지 않았다.
현행법상 가상통화 거래소는 ‘통신판매사업자’로 분류돼 금융회사 수준의 보안을 갖출 의무가 부여돼 있지 않다. 그래서 대부분 서버 규모가 작고 보안 수준도 턱없이 낮다. 경찰대 치안정책연구소는 지난 18일 보고서에서 비트코인 거래 사이트 중 30% 이상이 방화벽을 사용하고 있지 않고, 45%가 보안소켓계층(SSL) 서버를 이용하지 않는다며, 거래소 해킹 위험이 커질 것이라고 우려했다.
또 해킹이나 횡령으로 인해 거래소가 파산할 경우 투자자들이 예치금이나 가상통화를 돌려받을 방법도 마련돼 있지 않다. 국내 주요 4개 가상통화 거래소(업비트·빗썸·코인원·코빗)의 이용 약관을 보면, 해킹을 당했을 때 투자자들에게 손해배상 등 책임을 지겠다고 명시한 곳은 한 군데도 없다. 코인원은 ‘제3자가 불법적으로 회사의 서버에 접속해 발생하는 손해, 회사 서버로부터의 전송을 방해함으로써 발생하는 손해, 악성 프로그램을 전송 또는 유포해 발생하는 손해’ 등을 면책조항으로 기재했다. 국내에서 거래량이 가장 많은 업비트도 약관에 ‘회사는 디도스(DDoS) 공격, IDC(인터넷데이터센터) 장애, 기간통신사업자의 회선 장애 등으로 발생하는 회원의 손해에 대해서 어떠한 책임도 지지 않는다’고 명시했다. 빗썸과 코빗은 해킹 피해에 관한 보상 등에 대해 아예 언급하지 않았다.
이에 고객 자금을 별도 기관에 예치하거나 가상통화 전용 보험상품 개발이 필요하다는 지적이 나온다. 현재 거래소 중에 몇 곳은 일반 기업을 대상으로 한 사이버배상책임보험에 가입했으나, 보상 한도가 30억원에 불과하다. 맹수석 충남대 법학전문대학원 교수는 “고객 자산을 신탁회사 등에 위탁하거나 배상책임보험 공제 등에 가입하도록 하는 방안을 고려해볼 필요가 있다”고 말했다.