[종합]업비트·빗썸 등 12개 거래소 모두 블록체인협회 자율규제심사 통과, 2곳은 자체 철회

건전한 암호화폐 생태계를 만들겠다며 자체적인 자율규제안을 만들어 진행됐던 한국블록체인협회의 자율규제 심사 결과, 협회 회원사 암호화폐 거래소 12곳이 모두 적격 판정을 받은 것으로 드러났다.

지난 5월부터 진행된 제1차 자율규제심사는 2개월간 ‘일반심사’와 ‘보안심사’ 두 개의 영역으로 나눠 투트랙으로 심사를 진행했으며, 자율규제안의 체크리스트에 대한 거래소들의 답변을 통해 심사가 진행된 것으로 밝혀졌다.

심사의 진행 과정은?

심사는 다음과 같이 진행됐다. 먼저, 지난 5월 1일 회원사가 제출한 서면 심사자료를 검토한 이후 미흡한 부분에 한해 보완요청을 거쳐 제출된 심사자료를 근거로 5월 30일 자율규제위원들이 각 회원사 실무 책임자 및 임원에 대한 인터뷰를 진행했다. 이후 추가 자료보완 작업이 한번 더 진행된 이후 최종 심사를 진행했다.

먼저, 일반심사에서는 재무정보 체계, 거래소 이용자에 대한 기본 정보 제공 체계, 거래소 이용자에 대한 투자 정보제공 체계, 민원관리 시스템 체계, 이용자 자산 보호 체계, 거래소 윤리 체계, 자금세탁방지 체계 등의 항목을 다뤘다.

세부적으로는 자기자본 20억원 이상, 보유자산의 관리방법 및 공지 여부, 코인 상장 절차, 민원관리 시스템, 자산보호 체계인 콜드월렛 70% 이상 보유, 시세조종금지, 내부자거래 금지, 자금세탁방지 등 28개의 심사항목을 가졌다.

보안성 심사의 경우 5월 8일까지 제출된 심사자료를 바탕으로 회사의 보안 담당자와 인터뷰 심사를 진행했다.  자율규제위원회 위원장 전하진씨는 “보안성 심사 결과의 경우 전체 거래소의 보안성은 전반적으로 준수하지만 각 개별 거래소간의 보안 수준에는 편차가 있었다”라고 전했다.

또한, 전 위원장은 “본 심사를 통과하여다는 것은 기본적인 보안성을 유지하기 위한 최소 조건을 만족하였을 뿐, 강건한 보안 아키텍쳐를 설계했음을 담보할 수는 없다”라며 보안에 대한 지속적인 관심이 필요함을 밝혔다.

더불어 한국블록체인협회는 보다 발전된 거래소 보안을 위해 거래소의 설계, 구현, 운영에 대한 좋은 사례를 발굴하고 취약점을 분석하는 자리를 마련하기 위해 ‘거래소 보안 컨퍼런스를 개최할 예정이라고 덧붙였다.  

심사에 참여한 모든 거래소 통과, 실효성이 있나?

통과된 암호화폐 거래소는 업비트, 빗썸, 고팍스, 오케이코인코리아, 코인원, 코빗, 후오비코리아, 한빗코, 네오프레임, 코인제스트, 코인플러그, 한국디지털거래소(Dexko)  등 12곳으로, 처음 심사를 한다고 발표했던 14곳 거래소 중 에스코인과, 코미드 2곳은 조금 더 준비를 해서 심사에 참여하겠다고 자체 철회한 것으로 드러났다.

결과적으로 자율규제심사에 참여했던 암호화폐 거래소 12곳은 모두 통과한 것이다. 이에 대해 자율규제심사의 변별력이 없는 것이 아니냐는 의견들이 나왔고 “제1차 자율규제심사는 거래소들이 고객들의 자산을 제대로 보안할 수 있는지에 대한 ‘최소한의 요건’을 갖췄는지 확인한 자리였다”며 “앞으로의 심사기준은 사전예방 및 사후대책 등의 보완을 통해 꾸준히 향상시킬 계획”이라고 전하진 자율규제위원장은 말했다.

허나, 통과된 12곳의 거래소들간의 보안 편차가 있었다고, 등급을 나눠 발표할 수는 없지만 정말 잘하고 있는 거래소들과 아직 부족해서 차차 보안해나가야하는 거래소들도 존재한다는 것도 덧붙였다.

빗썸, 바이낸스 등의 거래소 해킹 사건과 관련해 전하진 위원장은 “세계적으로 모든 암호화폐 거래소가 해커들의 주요 타겟”이라며 “거래소를 향한 해킹 공격은 계속 있을 것이고, 우리는 해킹을 방지할 수 있는 방법과 해킹이 일어났을 때 고객의 자산을 보상할 수 있는 방법을 계속 간구해나갈 예정”이라는 입장을 밝혔다.

암호화폐 거래소의 단체보험 가입 등 고객의 자산을 보호할 수 있는 방안도 검토중이라고 덧붙였다.

또한 “경험이 부족한 거래소들은 이번 심사를 통해 어느 정도까지 수준을 끌어올려야 하는지 알 수 있는 기회가 됐다”며 “협회 차원에서 거래소들의 지속적인 관리와 심사를 통해 보안의 수준을 계속 높여나갈 예정”이라는 포부도 밝혔다.

한편, 정부와 실질적으로 대화가 이루어지고 있는 내용은 없는 것으로 밝혀져 현장에서는 안타까워하는 반응들이 나오기도 했다.

<기자간담회 Q&A 전문>

Q.12개 심사 업체가 모두 통과됐는데, 일반심사와 보안심사 부문에서 어떤 거래소가 적격했고, 부적격했는지 순위까지는 아니더라도 결과가 밝혀져야 한다고 생각한다.

김용대 교수 : 개별거래소가 어디가 취약하다고 밝힌다면 해커들의 공격대상이 될 수 있기 때문에 그 부분은 밝힐 수 없다. 1차 심사에 생각보다 시간과 예산이 많이 소요됐기 때문에 체크리스트를 통한 포지티브 심사를 진행하기로 했고, 예상대로 12개 거래소 모두 체크리스트에 증명 자료들을 제출했다.

먼저 12개 거래소들과 모두 인터뷰를 진행했으며, 그 중 9개의 거래소 같은 경우는 협회에서 생각했던 것과 굉장히 큰 차이가 있어, 4차, 5차에 걸쳐 인터뷰를 하게 돼 자율규제심사 발표가 늦춰진 경향이 있다.

앞서 말했듯이 거래소들간의 편차가 존재한다. 정말 잘하는 거래소도 있고, 조금 더 노력해야하는 거래소도 있다.

실제 체크리스트 위주로 보안체크가 이뤄졌는데 “이 부분에 대답 안했네요, 안쓰셨네요”라고 얘기하기는 힘든 구조다. 때문에 1차 심사는 체크리스트 위주로 진행됐으며 체크리스트에 응답한 회사는 다 통과된 것으로 결정이 났다.

전하진 자율규제 위원장(이하 전하진 위원장) : 애초에 협회에서 진행하는 거래소에 대한 심사가 컨설팅 수준의 심사로 진행될 수는 없다. 최소한의 요건을 갖췄냐 안갖췄냐로 진행될 수 밖에 없고 계속 매년 꾸준히 심사를 해나갈 것이기 때문에 보안심사기준 요청사항이 점접 업그레이드 될 것이다.

실제로 취약점 점검을 한 거래소들이 많았는데, 웹만 점검한 거래소도 있었고, 정말 구체적으로 검사했던 거래소는 소스코드까지 점검을 했던 거래소도 있다. 본인들의 모든 인프라를 열어주고 ‘해킹해 주세요’라고 한 거래소도 있다. 반면, 웹 인터페이스만 공개해 블랙박스로 해킹해보실래요?한 거래소도 있었다.

김용대 교수 : 전반적인 거래소 전체에 대해 굉장히 꼼꼼하게 봐야한다고 생각한다. 정보보호위원회 위원들이 어떻게 하면 계속 심사를 받고 실제로 거래소를 안전하게 설계할 수 있는 것인가에 대한 ‘컨퍼런스’를 9월 중에 개최할 생각이다. 정보보호회사들과 거래소들이 다 참여하는 컨퍼런스가 될 것이다.

Q. 준비편차가 심하다고 했는데, 같은 등급으로 묶이기가 어렵다는 생각이 든다. 등급정도는 알려줘야되지 않나. 일반 심사, 보안심사 통과한 거래소들이 해커의 공격받았을 때 뚫릴 확률 등이 궁금하다

김용대 교수 : 암호화폐 거래소 바이낸스가 최근에 털렸다. 바이낸스가 보안에 투자를 덜 했기 때문에 털렸을까? 그렇게 생각하지 않는다. 전세계 거래소들은 해커의 가장 큰 타겟이 되고 있다. 아마 거래량이 많고 큰 거래소일수록 더욱 해커들의 공격이 많을 것이다. 모든 공격에 안전한 거래소는 없을 것이다.

Q.자율규제심사는 (협회) 회원사여야만 받을 수 있는건지. 자율규제 심사발표된 거래소들은 차후 은행계좌가 열리는지 궁금하다.

전하진 위원장 : 현재 초기 과정이기 때문에 거래소가 어느정도 수준까지 요건을 갖추고 안전하게 갈 수있는 방안이 무엇인지 협회와 함께 공유하고, 함께 구조를 짜나가는 과정이다.

자율규제 심사를 진행하며 거래소들도 미처 생각하지 못했던 부분들을 알게돼 (거래소들이) 공부를 많이 했다. 함께 조치를 취해나가는 과정에서 더 나은 생태계를 만들어나갈 수 있지 않을까 생각한다.

정부 입장에서는 현재 거래소를 방치해 둔 상태이다. 고객 자산 관리 부분에서 사고가 나면 어떤 문제가 벌어질 것이냐와 관련한 논의가 나와야하는데, 최소한의 요건이 갖춰지지 않은 거래소도 있다. 암호화폐 거래소는 어떤 걸 갖춰야한다라는 정도의 규정이  있어야하는데, 정부가 일일이 대응하긴 어려워서인지 갑갑한면이 있다.

현재는  정부로부터 거래소와 관련해 어떤 메시지도 받은게 없다. 협회 스스로 만들어가고 있다.

자율규제심사를 진행하며 미처 생각하지 못한 부분들이 있어 자율규제를 통해 어느정도 틀이 만들어지고 안이 만들어지면 얘기가 될 수 있지 않을까 기대하고 있다.

은행계좌 또한 정부로부터 받은 메시지가 없다. 은행은 현재와 같이 거래소들이 개별적으로 진행해나가고 있고, 자율규제위원회가 집단으로 얘기를 하지는 못하고 있는 상황이다.

최소한의 요건을 갖춘 협회의 회원사가 된 거래소들은 1년에 정기적으로 심사를 받아나갈 것이다.

Q.투자자들이 자율규제 심사 결과에 기대를 하고, 신뢰도 있는 거래소를 택하려고 했을텐데 두루뭉술하게 발표가 돼서 큰 의미가 없어보인다. 향후로도 이렇게 결과를 발표할 것인가.

전하진 위원장 : 자율규제심사를 하는 과정 중에 새로운 문제들을 발견하고, 거래소가 이런 수준으로 해결이 되길 바란다는 내용으로 실질적인 심사요건 강화가 있을 것이다. 그렇게되면 앞으로  따라오는 거래소와 따라오지 못한 거래소 생겨 자연스럽게 분리가 되지 않을까 생각한다.

단순하게 얘기하지않고, 적극적으로 얘기 나누는 형태의 발표도 가능하지 않을까 기대하고 있다. 지금은 암호화폐 시장이  초기 단계이기 때문에 이렇게 발표를 하게 됐지만, 실제 대만 블록체인협회에서도 나에게 ‘자율규제 어떻게 해야되냐’라고 물어볼 정도로, 전세계적으로 다 실험중인 상황이다.  

Q.암호화폐 단체 보험 가입에 대해서 발표를 했는데, 거래소마다 편차가 크다고 말씀하셨다. 보험가입에 관해서도 문제가 있을 것 같다. 원하는 거래소도 있고 원치 않는 거래소도 있을 것이고.

전하진 위원장 : 투자자가 해킹 등의 사고를 당했을 때 어떻게 투자자를 보호할 것인지 구체적이고 실질적인 대책이 필요하다고 생각한다. 대체할 수 있는 방안을 내놔야한다고 생각했고 때문에 단체 보험 등을 생각해보는 것이다.

Q.빗썸의 해킹사태 등 국내 거래소의 해킹 취약성에 대해 어떻게 생각하는지 궁금하다.

전하진 위원장 : 해킹사고는 앞서 말했듯이 끊임없이 일어날 수 밖에 없다. 때문에 (고객이) 돈을 인출할 때, 일일이 확인하고 더디게 인출하는 프로세스로 진행이 되는 거래소도 있다.

투자자들도 본인의 재산을 지키기 위해서는 본인의 불편함을 감수해야되는 부분이 있다고 생각한다. 주식 시장의 경우 마감시간이 정해져있지만, 암호화폐 거래소는 정해진 시간 없이 24시간 계속 돌아가고 있으며 가격 높낮이의 상한/하한도 없는 상태이기 때문에 보완할 부분이 많다고 생각한다.

김용대 교수 : 빗썸 해킹사태의 경우, 현재 수사중인 사건이기 때문에 공식적으로 얘기하기는 힘든 부분이 있다.

해킹의 방법이 다양해 내부자가 USB를 꽂아서 악성코드를 넣는 경우도 있고, 실제 USB 보안회사의 USB를 해킹해 악성코드를 퍼트리는 공격도 있다.

보안을 잘하고 있는 거래소는 연중으로 거래를 맺은 보안업체와 새로운 인프라사 소스코드에 대해 집중공격을 실험해보는 것도 있는 것으로 안다. 하지만 그렇게 하기에는 경제적인 부담이 상당히 크다.

그렇기 때문에 빗썸도 사고와 관련해 체크리스트 위주로 조사를 할 수 밖에 없던 한계가 있었다. 실제 네거티브 규제가 이루어진다해도, 해당 회원사가 직접 얘기해주지 않는 이상 협회가 알 수 있는 방법은 없다. 우리가 직접 해킹을 해볼 수는 없기 때문에, 내부의 허점을 얘기 해주지 않으면 우리가 알 수 없다.  

때문에 거래소가 직접 해킹 당하지 않기 위해 끊임없이 분석하고 보안을 강화하려는 노력을 해야한다 생각한다. 마음으로써의 마음가짐과 기술에 대한 마음가짐 등 양쪽 모두에 대한 마음가짐이 필요하다고 생각한다.

Q.5월 31일까지 보안성 검사를 하고 발표를 한다고 했는데, 왜 오늘(7월 11일) 발표했는지 궁금하다.

전하진 위원장 : 거래소들로부터 예측했던만큼 답변이 완벽하게 오지 않아 재요구를 하게 됐으며, 그러한 과정에서 발표가 늦어진 면이 있다. 보안심사같은 경우 두번, 세번 심사한 회사들도 있었고.

이번 ‘1차 심사결과’는 일종의 ‘운전면허’같은 느낌이라고 생각하면 될 것 같다. 정말 각 개별 거래소들이 이정도의 요건을 갖추면 된다 수준의 최소한의 수준의 평가였다.

협회가 이후에 권위를 가지고 거래소와의 관계에 있어 힘을 발휘할 수 있다면 강하게 요구할 수 있을 것이다. 향후에는 더 완벽한 시스템을 갖출 수 있지 않을까. 이는 시간이 필요하다고 생각한다.

김용대 교수  : 발표가 연기된 이유는 처음 12개 전체에 대해 심사를 했고, 9군데 정도가 저희가 기대하는 최소한의 취약점 분석을 안했다. 기대하는 것보다는 덜했다.

본인들이 빨리 취약점 점검 받겠다고 했음에도 점검이 딜레이 된 경우가 많아 발표가 지연이 됐던 것이다. 또한 거래소 내의 코인간 많아서, 이상황으로 거래를 하는것보다 취약 점검을 받고 거래 안정성 보장하는 게 낫지 않을까라는 생각도 하게 됐다.

자율규제 심사는 1년에 세번  정기평가로 진행이 될 예정이고, 협회에 23개의 회원사가 있는데, 나머지 11개 업체는 다음 2차 심사 때 심사를 할 예정이다. 협회를 철회했던 2개 업체는 체크리스트를 보고 난 후 조금 더 준비가 잘 된 상태로 평가를 받고 싶다고 철회한 입장이다.

보험과 관련해서 말을 덧붙이자면 보험회사를 선정하면 개별적으로 거래소들이 검토하도록 할 예정이다.

Q.자율규제실효성이 떨어지면 정부 은행권과의 조율 부분에서도 힘을 못쓸 것이고, 일단 협회에 대한 회원사들의 내부 불만 많은 것으로 알고 있다. 이 부분에 대해서 어떻게 생각하는지 궁금하다

전하진 위원장 : 자율규제로 인해 다른 거래소들과 역차별 당하고 있다는 우려와 불만이 있다. 하지만 투자자 고객의 입장에서 보면 이름도 모르는 거래소들이 정말 많이 영업하고 있고 이런 거래소들이 어떻게 영업을 해나갈지에 대해서도 걱정이 많다.

사실 국내에 수십개의 암호화폐 거래소가 있는 것으로 알고 있는데, 수십개의 암호화폐가 다 적격판정심사를 했다면 반 이상은 통과를 못했을 것이라고 생각한다. 헌데 자율규제를 직접 받겠다고 신청한 12개 업체를 대상으로만 진행했기 때문에 모두가 통과한 것이고, 중간중간 미흡한 부분이 있던 거래소는 보완을 시켰기 때문에 12개 업체가 모두 통과했다고 보면 될 것같다.

향후 회원사들의 시스템, 요건, 점점 높아진다고 생각하면 자연스레 차별화되지 않을까 싶다.

김용대 교수  : 협회는 소비자 보호가 상당히 중요하다고 생각하고 있으며 굉장히 미흡해 보였던 부분을 고쳐줄 수 있고 발전시켜달라고 거래소한테 부탁을 할 수 있었던 것 만으로도 굉장히 큰 성과라고 생각하고 있다.

전하진 위원장 : 이 생태계가 앞으로 5년 안이면 정말 새로운 대륙이 될 것이라고 생각한다. 정말 한국에서이  생태계가 다른나라보다 빨리 자리잡길 바란다.