침해사고/위협동향

350억 탈취당한 빗썸, ISMS 못 받은 이유…“준비 미흡해 반려”

최민지
[디지털데일리 최민지기자] 암호화폐 거래소 ‘빗썸’이 약 350억원 규모의 암호화폐를 탈취당한 가운데, 두 달 전 정보보호관리체계(ISMS) 인증을 신청했지만 반려된 사실이 뒤늦게 알려졌다.

20일 한국인터넷진흥원(KISA)은 빗썸이 지난 4월 초 ISMS 인증을 정식 신청해 예비점검을 나갔으나, 당시 준비 상태로는 인증을 진행하기 어렵다고 판단해 보완조치 후 재신청할 것을 요구했다고 밝혔다. 빗썸은 이러한 KISA의 보완요청을 수락했고, 이후 재신청을 준비하고 있다.

매출액 100억원 이상 또는 이용자 수 100만명 이상인 사업자에 속하는 빗썸은 ISMS 인증 의무 대상이다. 이에 빗썸은 ISMS 심사원 자격을 보유한 보안전문가를 영입하는 등 5월 내 ISMS 인증을 받도록 추진하겠다고 선언했다. 한 달이 지난 지금까지 ISMS를 받지 못한 이유는 해당 규정에 부합할만한 증빙을 갖추지 못했기 때문이다.

지난해 개인정보 유출을 겪은 빗썸은 19일 밤부터 20일 새벽 사이 약 350억원 규모의 암호화폐를 탈취당하며 또다시 보안 논란에 휩싸였다. KISA는 20일 오전 9시50분경 빗썸으로부터 침해사고 신고를 접수, 사고원인 분석을 위해 현장 출동했다.

보안업계 관계자는 “보통 ISMS 인증을 받기 전 기업에 대한 보안정책과 통제 수단에 대한 위험수준을 관리하기 위한 컨설팅을 받는데, 이 부분이 미흡했다는 의미로 해석된다”며 “ISMS 인증을 받을만한 보안수준이 아니었다는 방증아니냐”고 말했다.

이번 보안사고로 인해 빗썸에서 강조해 온 보안조치에 대한 의구심도 제기되고 있다. 빗썸은 금융권 보안수준에 이르는 보안체계를 마련했다고 줄곧 주장해 왔다.

지난달 빗썸은 제1금융권 수준의 정보보안 인력 및 예산 시스템을 구축했다고 발표했다. 또, 통합보안 및 백신 솔루션을 도입하며 정보보한 시스템을 마련하고 거래소 웹사이트와 전자지갑을 분리 운영하는 한편, 디도스(DDos) 공격차단 클린존 시스템을 운영하고 있다고 했다.

이 외에도 웹방화벽, 데이터 변조 방지, 고급 암호화 장치 등을 적용하고 모의해킹 훈련, 취약점 점검 등을 진행하고 있으며 정보보호최고책임자(CISO)를 선임했다고 밝힌 바 있다.

하지만, 보안업계는 아직 암호화폐 거래소의 보안수준은 금융권과 비교했을 때 부족하다고 일축하고 있다. 아키텍처 재정립이 필요한데, 단순히 금융권에서 사용하는 보안솔루션만 적용한다고 동일한 수준이라고 말할 수 없다는 설명이다.

이 관계자는 “금융권 보안수준을 충족하려면 전자금융거래법상 전자금융감독규정에 명시된 모든 규정을 모두 지켜야 한다”며 “이번 암호화폐 탈취사건에서 관건은 거래소의 핵심 자산인 개인키를 어떻게 보관하고 있는지가 될 것”이라고 제언했다.

이어 “공인인증서로 대표되는 공인인증기관들은 HSM(Hardware Security Module) 장비에 개인키를 관리하면서 복사·유출을 불가능하도록 하고 있어, 물리적 방법 외에 가져갈 수 없도록 조치했다”며 “빗썸이 해킹으로부터 안전한 매체에 개인키를 보관하고, 접근 가능한 사용자 통제에 대한 절차가 진행됐는지 살펴봐야 한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널