[생생플러스] 인터뷰 전문

- YTN
- YTN 사이언스
- YTN2
- YTN world
- YTN korean
- YTN dmb
- 남산서울타워

방송시간 : [월~금] 15:00~16:00
진행 : 김우성 / PD: 김우성 / 작가: 이혜민

인터뷰 전문

[생생인터뷰] 열흘도 안돼 또 빗썸해킹, 가상화폐 거래소 규제강화 필요해
[생생인터뷰] 열흘도 안돼 또 빗썸해킹, 가상화폐 거래소 규제강화 필요해 ■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00) ■ 진행 : 김혜민PD ■ 대담 : 김명주 서울여대 정보보호학과 교수 ◇ 김혜민PD(이하 김혜민)> 오늘 가장 뜨거운 경제뉴스를 제일 생생하게 전해드리는 시간입니다. 지난 11일, 국내 가상화폐 거래소 코인레일이 해킹당해 400억이 유출됐는데요. 그런데 또 그런 일이 발생했습니다. 국내 최대 가상화폐 거래소인 빗썸에서 350억 원 규모의 가상화폐 해킹 도난 사고가 발생한 것인데요. 빗썸은 긴급공지를 통해 "약 350억 상당의 일부 암호화폐가 탈취당한 사실이 확인됐다"라며 "당분간 거래 서비스와 암호 화폐 입출금 서비스 제공을 중단한다"고 밝혔습니다. 서울여대 정보보호학과 김명주 교수와 함께 관련 이야기 나눠보도록 하겠습니다. 교수님, 안녕하세요? ◆ 김명주 서울여대 정보보호학과 교수(이하 김명주)> 네, 안녕하세요. ◇ 김혜민> 지난 11일이에요. 코인레일 해킹 사건이 있었는데, 딱 열흘 됐죠? 빗썸의 이 해킹 사건도 앞서 있었던 것과 같은 유형의 사건입니까? ◆ 김명주> 지금 인터넷 진흥원에서 조사에 들어갔을 텐데, 처음 받는 느낌은 비슷한 사건으로 보입니다. 심지어 동일한 해커이지 않을까하고 추정할 정도이고요. 그리고 뒷이야기긴 하지만, 올해 2월에도 국정원에서 그런 보고를 한 적이 있어요. 이런 가상 화폐 해킹과 관련해서 북한 해커들이 많이 연루되어 있다, 이런 이야기도 있기 때문에 그런 흐름에서 이번 사건도 파악하지 않을까 생각하고 있습니다. ◇ 김혜민> 확정된 것은 아니고, 추정인 거죠. 그러니까 코인레일 해킹 사건과 오늘 사건의 해커가 동일 인물일 수도 있고, 또 인물이 지난 2월에 있었던 북한 해커 중 하나일 수도 있다는 거죠? ◆ 김명주> 북한 해커도 우리나라에 있었던 해킹 사건이나, 또 일본에서도 가상화폐 해킹사건이 있었는데요. 그것에 대한 배후가 비슷하다고 이야기한 적이 있었습니다. ◇ 김혜민> 그런데 코인레일보다 앞서서 지난 4월에 야피존이 55억 원 상당의 해킹 피해사건을 받았고, 또 12월에는 이 야피존이 사명을 바꾼 유빗이 또 해킹을 당해서 172억 원 상당의 피해를 내기도 했단 말입니다. 제가 지금 말씀드린 그간 해킹 사례는 중소 거래소에 국한되어 있었기 때문에 파급력이 크지는 않았는데요. 빗썸은 좀 다르지 않습니까? ◆ 김명주> 그렇죠. 빗썸은 우리나라 거래소 1, 2위를 다투고 있는 일종의 메이저 거래소죠. 그리고 본인들이 소비자들이 우려하고 있는 보안에 관한 부분을 오래전부터 인식하고, 많은 방향으로 준비를 해왔고요. 또 최근에는 ISMS라고 해서 보안에 관한 국가 인증체제가 있는데, 거기까지도 신청할 정도로 많은 준비를 해 온 거래소 중 하나입니다. ◇ 김혜민> 그리고 조금 차이점이라고 한다면 이번에 유출된 암호 화폐가 고객자산이 아니고, 빗썸의 보유 자산분이라고 하더라고요. ◆ 김명주> 회사에서는 그렇게 발표했죠. 회사에서 발표한 점은 그렇고, 그래서 고객 자산이 아니기 때문에 언뜻 듣기에 피해가 없을 것처럼 이야기하지만, 이 사건이 벌어지면 꼭 빗썸의 고객뿐만 아니라 일반적으로 가상 화폐를 다루고 있는 분들이 전반적으로 피해를 받죠. 왜냐하면, 가격 폭락이 벌어지기 때문에요. ◇ 김혜민> 실제로 오늘도 비트코인이 24시간 전 대비 4.25% 내렸어요. 그러니까 당연히 투자자들한테 피해가 가는 거죠. ◆ 김명주> 그렇죠. 개인이나 회사의 문제뿐만 아니라 국가 전체의 문제일 수도 있다고 생각합니다. ◇ 김혜민> 네, 아까 해커 이야기는 해주셨는데, 해킹의 원인 또한 해커의 짓이라고밖에 지금은 파악할 수 없겠네요. 그렇다면 빗썸이 업계 1, 2위를 다투는 거래소이고, 그래도 그동안 보안 분야에 많이 했었던 기업이라고 말씀을 하셨습니다. 그런데 어떻게 이런 일이 또 일어날 수 있을까요? ◆ 김명주> 보안과 실제 해킹하는 것 사이에는 창과 방패 관계가 있습니다. 그래서 실제로 보안 도구를 많이 설치하고, 인력을 투자하고, 또 재정을 많이 투자하더라도 완벽할 수 없거든요. 가장 중요한 것은 뭐냐면 보안은 아무리 많은 인력을 투자해도 겉으로 드러나지 않아요. 그래서 어느 회사의 경우에 보안에 10% 투자했는데, 12% 투자했다고 해서 일반 소비자들이 느낄 때는 좋아지는 것이 하나도 없죠. 왜냐하면, 안전의 문제이기 때문에요. 다만 이런 문제가 발생하지 않을 확률이 높아질 뿐이고, 그래서 일반 경영자들이 생각할 때, 어느 정도 보안을 갖춘 다음에는 보안 쪽에 투자하는 것을 꺼립니다. 투자한 만큼 겉으로 드러나지 않기 때문에요. 그래서 특정한 기준만 넘어가면 경영자들은 보안 쪽보다는 다른 쪽으로 인력을 보안에서 빼내는 형태를 취하기 때문에 사실 이것이 경영하는 입장에서 상당히 어려운 문제 중 하나죠. ◇ 김혜민> 그래서 금융업계의 대표적인 정보보호 조항이 있더라고요. 5.5.7 규정이라고 합니까? ◆ 김명주> 네. 5.5.7이라는 것이 %의 머리글자를 따서 만든 건데요. 일반적으로 금융업계는 돈을 만지다 보니까 보안이 매우 중요하잖아요. 예를 들어서 전체 직원 가운데 5% 정도는 IT 인력으로 채우고, 또 IT 인력 가운데 5%는 보안하는 사람을 채용하고, 회사 운영에 들어가는 전체 비용 중에서 한 7% 정도는 보안에 투자하는 것이 5.5.7입니다. 그런데 빗썸 같은 경우는 알려지기로 5.5.7보다 훨씬 많은 투자를 했다고 본인들이 이야기하고 있기 때문에 이것이 많이 투자했다고 해서 절대치가 아니라 최소한 그 정도는 필요하다는 권장 사항이고요. 그 이상을 했어도 여러 가지 상황과 사안에 따라서 언제든지 뚫릴 수 있는 것이 보안 문제인 것 같습니다. ◇ 김혜민> 인력이 어찌 되었든 기준은 채웠던 것 아닙니까? 회사 측 말에 따르면요. 그런데도 이런 문제가 있으면 인력뿐만 아니라 다른 부분의 보안 문제가 있었다는 건데, 그러면 어떤 부분을 정말 보안 문제를 위해 보완해야 합니까? ◆ 김명주> 사실 보안이라는 것이 단순히 해킹 공격을 잘 막아내는 프로그래머를 채용했다는 것으로 해결할 수 있는 문제가 아니에요. 그러니까 실제로 보안을 보면 보안 정책부터 시작해서 예방, 사건이 벌어졌을 때 후속 조치, 등 많은 것이 얽혀 있습니다. 그래서 국제적으로도 그렇고, 우리나라도 그렇고 정보보호 체계인증이라고 하는 ISMS라는 것이 있는데, 그 부분이 전체적인 보안에 관한 모든 것을 점검하는 것이거든요. 그것에 의해서 점검을 해야만 새어나가지 않는 부분을 사실 많이 체크할 수 있는 겁니다. 그런데 그런 것이 없이 5.5.7이라는 것도 인력, 그러니까 우리는 보안 인력이 몇 % 있다, 이 정도 가지고는 되지 않고, 경영자부터 시작해서 회사의 전체적인 시스템, 그다음에 흐름, 이런 전체적인 것을 체크하는 통합관리 시스템이 필요합니다. 그런 부분을 기존의 금융기관만큼 갖추지 못했던 것도 사실이죠. ◇ 김혜민> 교수님께서 지금 체계, 인증, 점검, 이건 결국 규제가 있어야 한다는 것이잖아요. 그런데 가상 화폐 이야기 나올 때마다 참 민감한 부분이 이 규제입니다. 이 가상 화폐 자체가 쉽게 말하면 무정부주의자처럼 제제 없이 개인 간의 쉽고, 빠르고, 자유로운 거래를 하기 위해 태어난 것이기 때문에요. 규제에 대해 민감한 것은 이해를 하겠습니다. 그런데 결국 투자자들이 손해를 보고 있잖아요. 그러면 이 규제, 아까 말씀하신 전체적으로 점검하고, 인증할 수 있는 그런 기관, 이런 것이 필요한 것 아닙니까? ◆ 김명주> 이것이 근본적인 것이 가상 화폐, 암호 화폐라고 부르는 이 존재를 우리나라 정부에서는 주식이라든지 일반 화폐하고 동등하게 인정하지 않아요. 왜냐하면, 이것을 인정하는 순간 한국은행이라든지, 금융위원회에서 책임져야 하는 부분이 발생하는 것이죠. 그리고 이것이 기술적으로 태동되어서 나온 것이기 때문에 정부가 어떤 계획을 세워서 만드는 시스템이 아니거든요. 정부에 앞서 기술이 먼저 밀고 들어온 그런 형태이기 때문입니다. ◇ 김혜민> 그런데 보통 그렇지 않습니까? 기술과 규제라는 것이요. ◆ 김명주> 그렇죠. 기술이 먼저 앞서가죠. 그런데 그 부분에 대해서 정부가 충분히 준비하지 못하고 있었기 때문에 기존의 화폐라든지, 증권 시스템과 비교했을 때 문제시되는 부분들을 근원적으로 막는, 예를 들어 투기 바람이 불면 그것을 막는, 그래서 예전에 ICO에서 가상 화폐를 발행하면서 주식 발행하는 것처럼, 펀드 모집하는 것처럼 그런 형태가 있었는데, 이게 잘못하면 투기가 될 수 있다, 그것을 막게 하고요. 그러다 보니까 그것 때문에 가상 화폐가 활성화될 수 있는 가지가 우리나라에서는 잘려나간 케이스가 있죠. 그렇게 임시방편식으로 막아낸 부분이 있습니다. 그렇기 때문에 규제가 많아서 문제가 있기보다는 규제 자체를 생각할 만큼 정상적인 범주에서 아직은 우리나라가 아직 이것을 다루지 않고 있고요. 그나마 지난주쯤인가 이것을 보통 자금세탁용으로 가상 화폐를 쓰지 않도록 하지 않기 위해서 별도의 법안을 상정하신 것으로 알고 있습니다. 금융위원회에서 상정해서 앞으로 이 거래소를 할 때 신고제를 하겠다, 그래서 신고제를 해서 그 안에서 거래되는 모든 데이터를 금융기관에서 받아볼 수 있도록 하겠다는 것이죠. 일종의 불법 자금세탁을 방지하기 위한 방법들이죠. 그 정도 선에서 개입 시작하는 것 같아요. ◇ 김혜민> 그런데 신고제를 하겠다는 것은 굉장히 적극적인 것 아닙니까? ◆ 김명주> 사실은 신고제보다 더 적극적인 것은 등록제입니다. 일본 같은 경우에는 등록제를 하고 있고요. 그래서 일정한 요건이 되는 경우만 등록을 해주는 그런 경우인데요. 이제 이런 사건이 자꾸 발생하면 기술자라든지, 업체 입장에서는 신고제, 등록제가 다 번거로운 것이거든요. 그런데 소비자 입장에서는 엄격하게 해라, 등록제 하라는 것이죠. 지금 증권 거래소처럼 똑같은 요건 다 갖추고, 문제가 생기면 금융기관에서 들어가서 조사하고, 그리고 요건이 안 되는 기업체는 다 폐쇄시키라, 하는 요구가 저절로 생겨날 것 같습니다. ◇ 김혜민> 그렇다면 이제 가상 화폐에 대한 규제가 없다고 알려진 미국이나, 싱가포르 같은 곳은 이런 해킹 사고가 없습니까? 어떻습니까? ◆ 김명주> 아직까지 공식적으로 벌어진 것은 없고요. 사실 가상 화폐가 아시겠지만 최근 몇 년 사이에 붐을 이루고, 세계적으로 가장 활발하게 거래된 곳이 우리나라입니다. 그래서 흔히 ‘김치 프리미엄’이라는, 그 나라보다 한국이 더 비싸게 거래되는 일이 있었죠. 그러다 보니까 아무래도 거래가 많은 쪽에 해킹이나 이런 사고가 모일 수밖에 없고요. 그리고 외국에서 알려진 사례는 일본에서 한 두어 건 정도 알려져 있고, 그 외에는 특별하게 공식적으로 거론된 부분은 없고요. 오히려 우리나라에서 계속 벌어지고 있는 것이죠. ◇ 김혜민> 그러면 규제가 없는 국가, 미국이나 싱가포르 같은 곳의 사고는 없다고 하셨어요. 규제하고 해킹 사고하고는 연관이 없는 말인가요? ◆ 김명주> 그게 아니라 더 큰 규제가 있습니다. 선진국 같은 경우에는 예를 들면 개인정보가 유출되거나, 개인정보로 인해서 개인의 피해가 발생하면 우리나라의 경우는 피해를 당한 당사자들이 소송을 걸어서 요청해야 보상을 받죠. 그런데 미국 같은 경우는 대개 집단 소송제가 있습니다. 예를 들어 가상 통화가 없어졌는지도 모르는 고객들이 있어도 그 사람이 문제제기 하지 않아도 이 사건이 해결될 때 그 회사는 모든 사람들을 다 책임져야 하는 것이죠. 개인정보 유출 사고가 벌어져도 마찬가지입니다. 그러니까 사고가 벌어지면 회사가 그냥 문을 닫는 겁니다. 문을 닫기 때문에 그런 부분에 대해서 충분히 인지하고, 본인들이 보안 부분을 기술적으로, 또 재정이나 인력 면에서 충분히 투자하고 있고, 보안을 우선적으로 여기고 있죠. 아무리 돈을 많이 벌어도 보안 사고 한 번 터지면 우리 회사 문 닫는다는 인식을 하고 있습니다. ◇ 김혜민> 그러니까 미국에서는 아까 말씀하신 집단 소송과 같이 피해자들을 구제할 수 있는 법안들이 이미 있고, 그 법이 기업의 입장에서 굉장히 악랄할 수 있겠네요. ◆ 김명주> 우리나라 경우는 손해가 발생할 경우에 고객들한테 배상하잖아요. 배상을 할 때 아까 말한 것처럼 회사 보유분을 돌려준다거나, 아니면 자기들이 보험을 들어서 보험비로 메꾼다거나 하는데, 그것이 더 이상 안 되면 파산하죠. 파산하면 결국 개인이 책임을 지는 것이잖아요. 그런 개인이 피해당할 수 있는 부분에 대해서 선진국 같은 경우는 제2, 제3의 대안을 마련하고, 원래 회사와 연결해서 제도를 만들어 놓기 때문에 그런 부분에서 회사도 굉장히 보험비도 많이 들고요. 그게 비용이 많이 늘어나게 하는 요소이기는 하지만, 그런 것이 우리가 전반적으로 체질 자체가 많이 바뀌어 있고, 지금 거래소 같은 경우는 몇 년 사이에 100개 이상이 생겼고, 올해만 해도 수십 개가 생기지 않았습니까? 그리고 지난번 해킹사고 났던 곳도 자본금이 거의 1,000만 원이 되는 회사에서 거래하다가 사고가 벌어졌고요. 그렇기 때문에 방치된 상태에서 벌어진 것이기 때문에 어떻게 따지면 저희가 제재를 가하지도 않았고, 가하지 않은 상태에서 벌어졌기 때문에 앞으로 정부에서도 가급적으로 피해자 측면에서 생각해서 어떠한 제한을 더 해야 할지 더 고려해야 하는 상황이 벌어질 것 같습니다. ◇ 김혜민> 정부에서도 당연히 고민하겠지만, 기술자들이나, 개발자들은 엄청 싫어하겠죠? ◆ 김명주> 그렇죠. 일종의 거래소를 대박을 노리는 창업자들의 꿈으로 생각하는 경우가 많습니다. 그래서 가상 화폐를 하나 만들어서 그것을 거래하도록 만드는 것은 아주 짧은 기간 안에 백만장자로 만들 수 있는 꿈으로 많이 알고 있기 때문에, 지금 몇 년 사이에는 스타트업 바람이 불면서 이쪽으로 많이 나가는 분들이 있었거든요. 그것이 다르게 표현하면 제재가 많이 없었기 때문에 그냥 통신판매 업자로 등록하고, 내지는 전자상거래 업체로 등록하고, 그냥 운영해도 되는 것이었지, 은행이나 증권회사처럼 등록하는 것이 아니었거든요. 그런데 아마 이 사건이 발생하면서 정부에서 어떤 형태든지, 제도권 화 시키지는 않더라도 제도권과 비슷한 정도의 요구를 할 것이고요. 그렇게 되면 기술자 입장에서는 선택의 폭이 상당히 줄어들게 되는 것이죠. 창업할 때도 어느 기준을 맞춰야 하는 상황이 발생하게 되고요. ◇ 김혜민> 그러면 교수님께서 판단하시기에 진짜 한, 두 가지 이 규제는 꼭 생겨야 한다고 하는 것을 꼽아 주시겠어요? ◆ 김명주> 지금 사건이 궁극적으로 생기기 전에 이야기했던 것이 있습니다. 거래소에 관한 이야기인데요. 거래소가 너무 우후죽순으로 난립되어 있고, 사건이 거래소 자체 안에서 예를 들어 자신들이 코인을 보유하고 있지도 않은데 많이 보유하고 있는 것처럼 해서 잘못된 거래를 유도하는 거래도 있고요. 그래서 이 거래소를 사람들이 믿을 수 없다, 믿을 수 있도록 국가에서 어느 정도 규제를 했으면 좋겠다, 하는 의견이 계속 있었습니다. ◇ 김혜민> 거래소 설립할 때 국가의 규제가 있었으면 좋겠다? ◆ 김명주> 네, 그리고 거래소에 대한 부분을 상당 부분 모니터링할 수 있는 기관이 있었으면 좋겠다는 것인데요. 이런 것들이 궁극적으로 기술의 바다에 가면 중앙형에서 분산형으로 거래에 대한 기반을 하고 있거든요. 그것하고 상충됩니다. 소비자 입장에서는 안전을 위해서 자꾸 제재를 하고, 중앙집권형으로 뭔가를 해주기를 원하지만, 이제 그렇게 되면 증권거래소처럼 되는 것이죠. 그런데 이런 부분들은 사실 거래소를 통하지 않고, 개인 간 거래를 할 수 있는 기술이기 때문에 그렇게 하는 것에 있어서 찬반 논란이 있을 것은 같습니다. ◇ 김혜민> 그런데 열흘도 안 돼서 이런 사건이 일어났기 때문에 기술 자체에 대한 규제는 아닐지라도 거래소에 대한 질서에 관한 법률, 제재는 필요하지 않을까 싶은데요? ◆ 김명주> 가상 화폐에 대한 보안 이야기가 나올 때, 그 밑에 있는 기술이 블록체인이라는 기술인데요. 이 블록체인 기술이 완벽하다는 이야기를 했어요. 사실 그 부분에 대해서는 이론이 없는데, 문제는 블록체인 기술을 이용한 가상 화폐를 거래하는 개인들, 그다음에 개인이 위탁한 거래소는 기존의 IT 시스템을 다 활용하고 있거든요. 그런데 기존의 IT 시스템들은 보안의 문제가 여전히 존재합니다. 그러니까 밑의 장부나 이런 것을 보관하는 데는 문제가 없을지언정, 그것을 접근하고, 인증하고, 그 사람의 키 값을 어디에 보관할 것인지에 대해서는 여전히 보안의 문제가 있기 때문에 그것에 대한 부분은 기술적으로도 발전해야 하지만, 제도에 의해서 어느 정도 안전한 기반을 마련하는 것이 필요하다고 생각합니다. ◇ 김혜민> 네, 오늘 생생인터뷰 서울여대 정보보호학과 김명주 교수와 함께했습니다. 교수님, 고맙습니다. ◆ 김명주> 네, 감사합니다. [저작권자(c) YTN radio 무단전재, 재배포 및 AI 데이터 활용 금지]

[생생인터뷰] 열흘도 안돼 또 빗썸해킹, 가상화폐 거래소 규제강화 필요해

작성자 :

날짜 : 2018-06-20 16:32 | 조회 : 3798

[생생인터뷰] 열흘도 안돼 또 빗썸해킹, 가상화폐 거래소 규제강화 필요해



■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김혜민PD
■ 대담 : 김명주 서울여대 정보보호학과 교수

◇ 김혜민PD(이하 김혜민)> 오늘 가장 뜨거운 경제뉴스를 제일 생생하게 전해드리는 시간입니다. 지난 11일, 국내 가상화폐 거래소 코인레일이 해킹당해 400억이 유출됐는데요. 그런데 또 그런 일이 발생했습니다. 국내 최대 가상화폐 거래소인 빗썸에서 350억 원 규모의 가상화폐 해킹 도난 사고가 발생한 것인데요. 빗썸은 긴급공지를 통해 "약 350억 상당의 일부 암호화폐가 탈취당한 사실이 확인됐다"라며 "당분간 거래 서비스와 암호 화폐 입출금 서비스 제공을 중단한다"고 밝혔습니다. 서울여대 정보보호학과 김명주 교수와 함께 관련 이야기 나눠보도록 하겠습니다. 교수님, 안녕하세요?

◆ 김명주 서울여대 정보보호학과 교수(이하 김명주)> 네, 안녕하세요.

◇ 김혜민> 지난 11일이에요. 코인레일 해킹 사건이 있었는데, 딱 열흘 됐죠? 빗썸의 이 해킹 사건도 앞서 있었던 것과 같은 유형의 사건입니까?

◆ 김명주> 지금 인터넷 진흥원에서 조사에 들어갔을 텐데, 처음 받는 느낌은 비슷한 사건으로 보입니다. 심지어 동일한 해커이지 않을까하고 추정할 정도이고요. 그리고 뒷이야기긴 하지만, 올해 2월에도 국정원에서 그런 보고를 한 적이 있어요. 이런 가상 화폐 해킹과 관련해서 북한 해커들이 많이 연루되어 있다, 이런 이야기도 있기 때문에 그런 흐름에서 이번 사건도 파악하지 않을까 생각하고 있습니다.

◇ 김혜민> 확정된 것은 아니고, 추정인 거죠. 그러니까 코인레일 해킹 사건과 오늘 사건의 해커가 동일 인물일 수도 있고, 또 인물이 지난 2월에 있었던 북한 해커 중 하나일 수도 있다는 거죠?

◆ 김명주> 북한 해커도 우리나라에 있었던 해킹 사건이나, 또 일본에서도 가상화폐 해킹사건이 있었는데요. 그것에 대한 배후가 비슷하다고 이야기한    적이 있었습니다.

◇ 김혜민> 그런데 코인레일보다 앞서서 지난 4월에 야피존이 55억 원 상당의 해킹 피해사건을 받았고, 또 12월에는 이 야피존이 사명을 바꾼 유빗이 또 해킹을 당해서 172억 원 상당의 피해를 내기도 했단 말입니다. 제가 지금 말씀드린 그간 해킹 사례는 중소 거래소에 국한되어 있었기 때문에 파급력이 크지는 않았는데요. 빗썸은 좀 다르지 않습니까?

◆ 김명주> 그렇죠. 빗썸은 우리나라 거래소 1, 2위를 다투고 있는 일종의 메이저 거래소죠. 그리고 본인들이 소비자들이 우려하고 있는 보안에 관한 부분을 오래전부터 인식하고, 많은 방향으로 준비를 해왔고요. 또 최근에는 ISMS라고 해서 보안에 관한 국가 인증체제가 있는데, 거기까지도 신청할 정도로 많은 준비를 해 온 거래소 중 하나입니다.

◇ 김혜민> 그리고 조금 차이점이라고 한다면 이번에 유출된 암호 화폐가 고객자산이 아니고, 빗썸의 보유 자산분이라고 하더라고요.

◆ 김명주> 회사에서는 그렇게 발표했죠. 회사에서 발표한 점은 그렇고, 그래서 고객 자산이 아니기 때문에 언뜻 듣기에 피해가 없을 것처럼 이야기하지만, 이 사건이 벌어지면 꼭 빗썸의 고객뿐만 아니라 일반적으로 가상 화폐를 다루고 있는 분들이 전반적으로 피해를 받죠. 왜냐하면, 가격 폭락이 벌어지기 때문에요.

◇ 김혜민> 실제로 오늘도 비트코인이 24시간 전 대비 4.25% 내렸어요. 그러니까 당연히 투자자들한테 피해가 가는 거죠.

◆ 김명주> 그렇죠. 개인이나 회사의 문제뿐만 아니라 국가 전체의 문제일 수도 있다고 생각합니다.

◇ 김혜민> 네, 아까 해커 이야기는 해주셨는데, 해킹의 원인 또한 해커의 짓이라고밖에 지금은 파악할 수 없겠네요. 그렇다면 빗썸이 업계 1, 2위를 다투는 거래소이고, 그래도 그동안 보안 분야에 많이 했었던 기업이라고 말씀을 하셨습니다. 그런데 어떻게 이런 일이 또 일어날 수 있을까요?

◆ 김명주> 보안과 실제 해킹하는 것 사이에는 창과 방패 관계가 있습니다. 그래서 실제로 보안 도구를 많이 설치하고, 인력을 투자하고, 또 재정을 많이 투자하더라도 완벽할 수 없거든요. 가장 중요한 것은 뭐냐면 보안은 아무리 많은 인력을 투자해도 겉으로 드러나지 않아요. 그래서 어느 회사의 경우에 보안에 10% 투자했는데, 12% 투자했다고 해서 일반 소비자들이 느낄 때는 좋아지는 것이 하나도 없죠. 왜냐하면, 안전의 문제이기 때문에요. 다만 이런 문제가 발생하지 않을 확률이 높아질 뿐이고, 그래서 일반 경영자들이 생각할 때, 어느 정도 보안을 갖춘 다음에는 보안 쪽에 투자하는 것을 꺼립니다. 투자한 만큼 겉으로 드러나지 않기 때문에요. 그래서 특정한 기준만 넘어가면 경영자들은 보안 쪽보다는 다른 쪽으로 인력을 보안에서 빼내는 형태를 취하기 때문에 사실 이것이 경영하는 입장에서 상당히 어려운 문제 중 하나죠.

◇ 김혜민> 그래서 금융업계의 대표적인 정보보호 조항이 있더라고요. 5.5.7 규정이라고 합니까?

◆ 김명주> 네. 5.5.7이라는 것이 %의 머리글자를 따서 만든 건데요. 일반적으로 금융업계는 돈을 만지다 보니까 보안이 매우 중요하잖아요. 예를 들어서 전체 직원 가운데 5% 정도는 IT 인력으로 채우고, 또 IT 인력 가운데 5%는 보안하는 사람을 채용하고, 회사 운영에 들어가는 전체 비용 중에서 한 7% 정도는 보안에 투자하는 것이 5.5.7입니다. 그런데 빗썸 같은 경우는 알려지기로 5.5.7보다 훨씬 많은 투자를 했다고 본인들이 이야기하고 있기 때문에 이것이 많이 투자했다고 해서 절대치가 아니라 최소한 그 정도는 필요하다는 권장 사항이고요. 그 이상을 했어도 여러 가지 상황과 사안에 따라서 언제든지 뚫릴 수 있는 것이 보안 문제인 것 같습니다.

◇ 김혜민> 인력이 어찌 되었든 기준은 채웠던 것 아닙니까? 회사 측 말에 따르면요. 그런데도 이런 문제가 있으면 인력뿐만 아니라 다른 부분의 보안 문제가 있었다는 건데, 그러면 어떤 부분을 정말 보안 문제를 위해 보완해야 합니까?

◆ 김명주> 사실 보안이라는 것이 단순히 해킹 공격을 잘 막아내는 프로그래머를 채용했다는 것으로 해결할 수 있는 문제가 아니에요. 그러니까 실제로 보안을 보면 보안 정책부터 시작해서 예방, 사건이 벌어졌을 때 후속 조치, 등 많은 것이 얽혀 있습니다. 그래서 국제적으로도 그렇고, 우리나라도 그렇고 정보보호 체계인증이라고 하는 ISMS라는 것이 있는데, 그 부분이 전체적인 보안에 관한 모든 것을 점검하는 것이거든요. 그것에 의해서 점검을 해야만 새어나가지 않는 부분을 사실 많이 체크할 수 있는 겁니다. 그런데 그런 것이 없이 5.5.7이라는 것도 인력, 그러니까 우리는 보안 인력이 몇 % 있다, 이 정도 가지고는 되지 않고, 경영자부터 시작해서 회사의 전체적인 시스템, 그다음에 흐름, 이런 전체적인 것을 체크하는 통합관리 시스템이 필요합니다. 그런 부분을 기존의 금융기관만큼 갖추지 못했던 것도 사실이죠.

◇ 김혜민> 교수님께서 지금 체계, 인증, 점검, 이건 결국 규제가 있어야 한다는 것이잖아요. 그런데 가상 화폐 이야기 나올 때마다 참 민감한 부분이 이 규제입니다. 이 가상 화폐 자체가 쉽게 말하면 무정부주의자처럼 제제 없이 개인 간의 쉽고, 빠르고, 자유로운 거래를 하기 위해 태어난 것이기 때문에요. 규제에 대해 민감한 것은 이해를 하겠습니다. 그런데 결국 투자자들이 손해를 보고 있잖아요. 그러면 이 규제, 아까 말씀하신 전체적으로 점검하고, 인증할 수 있는 그런 기관, 이런 것이 필요한 것 아닙니까?

◆ 김명주> 이것이 근본적인 것이 가상 화폐, 암호 화폐라고 부르는 이 존재를 우리나라 정부에서는 주식이라든지 일반 화폐하고 동등하게 인정하지 않아요. 왜냐하면, 이것을 인정하는 순간 한국은행이라든지, 금융위원회에서 책임져야 하는 부분이 발생하는 것이죠. 그리고 이것이 기술적으로 태동되어서 나온 것이기 때문에 정부가 어떤 계획을 세워서 만드는 시스템이 아니거든요. 정부에 앞서 기술이 먼저 밀고 들어온 그런 형태이기 때문입니다.

◇ 김혜민> 그런데 보통 그렇지 않습니까? 기술과 규제라는 것이요.

◆ 김명주> 그렇죠. 기술이 먼저 앞서가죠. 그런데 그 부분에 대해서 정부가 충분히 준비하지 못하고 있었기 때문에 기존의 화폐라든지, 증권 시스템과 비교했을 때 문제시되는 부분들을 근원적으로 막는, 예를 들어 투기 바람이 불면 그것을 막는, 그래서 예전에 ICO에서 가상 화폐를 발행하면서 주식 발행하는 것처럼, 펀드 모집하는 것처럼 그런 형태가 있었는데, 이게 잘못하면 투기가 될 수 있다, 그것을 막게 하고요. 그러다 보니까 그것 때문에 가상 화폐가 활성화될 수 있는 가지가 우리나라에서는 잘려나간 케이스가 있죠. 그렇게 임시방편식으로 막아낸 부분이 있습니다. 그렇기 때문에 규제가 많아서 문제가 있기보다는 규제 자체를 생각할 만큼 정상적인 범주에서 아직은 우리나라가 아직 이것을 다루지 않고 있고요. 그나마 지난주쯤인가 이것을 보통 자금세탁용으로 가상 화폐를 쓰지 않도록 하지 않기 위해서 별도의 법안을 상정하신 것으로 알고 있습니다. 금융위원회에서 상정해서 앞으로 이 거래소를 할 때 신고제를 하겠다, 그래서 신고제를 해서 그 안에서 거래되는 모든 데이터를 금융기관에서 받아볼 수 있도록 하겠다는 것이죠. 일종의 불법 자금세탁을 방지하기 위한 방법들이죠. 그 정도 선에서 개입 시작하는 것 같아요.

◇ 김혜민> 그런데 신고제를 하겠다는 것은 굉장히 적극적인 것 아닙니까?

◆ 김명주> 사실은 신고제보다 더 적극적인 것은 등록제입니다. 일본 같은 경우에는 등록제를 하고 있고요. 그래서 일정한 요건이 되는 경우만 등록을 해주는 그런 경우인데요. 이제 이런 사건이 자꾸 발생하면 기술자라든지, 업체 입장에서는 신고제, 등록제가 다 번거로운 것이거든요. 그런데 소비자 입장에서는 엄격하게 해라, 등록제 하라는 것이죠. 지금 증권 거래소처럼 똑같은 요건 다 갖추고, 문제가 생기면 금융기관에서 들어가서 조사하고, 그리고 요건이 안 되는 기업체는 다 폐쇄시키라, 하는 요구가 저절로 생겨날 것 같습니다.
◇ 김혜민> 그렇다면 이제 가상 화폐에 대한 규제가 없다고 알려진 미국이나, 싱가포르 같은 곳은 이런 해킹 사고가 없습니까? 어떻습니까?

◆ 김명주> 아직까지 공식적으로 벌어진 것은 없고요. 사실 가상 화폐가 아시겠지만 최근 몇 년 사이에 붐을 이루고, 세계적으로 가장 활발하게 거래된 곳이 우리나라입니다. 그래서 흔히 ‘김치 프리미엄’이라는, 그 나라보다 한국이 더 비싸게 거래되는 일이 있었죠. 그러다 보니까 아무래도 거래가 많은 쪽에 해킹이나 이런 사고가 모일 수밖에 없고요. 그리고 외국에서 알려진 사례는 일본에서 한 두어 건 정도 알려져 있고, 그 외에는 특별하게 공식적으로 거론된 부분은 없고요. 오히려 우리나라에서 계속 벌어지고 있는 것이죠.

◇ 김혜민> 그러면 규제가 없는 국가, 미국이나 싱가포르 같은 곳의 사고는 없다고 하셨어요. 규제하고 해킹 사고하고는 연관이 없는 말인가요?

◆ 김명주> 그게 아니라 더 큰 규제가 있습니다. 선진국 같은 경우에는 예를 들면 개인정보가 유출되거나, 개인정보로 인해서 개인의 피해가 발생하면 우리나라의 경우는 피해를 당한 당사자들이 소송을 걸어서 요청해야 보상을 받죠. 그런데 미국 같은 경우는 대개 집단 소송제가 있습니다. 예를 들어 가상 통화가 없어졌는지도 모르는 고객들이 있어도 그 사람이 문제제기 하지 않아도 이 사건이 해결될 때 그 회사는 모든 사람들을 다 책임져야 하는 것이죠. 개인정보 유출 사고가 벌어져도 마찬가지입니다. 그러니까 사고가 벌어지면 회사가 그냥 문을 닫는 겁니다. 문을 닫기 때문에 그런 부분에 대해서 충분히 인지하고, 본인들이 보안 부분을 기술적으로, 또 재정이나 인력 면에서 충분히 투자하고 있고, 보안을 우선적으로 여기고 있죠. 아무리 돈을 많이 벌어도 보안 사고 한 번 터지면 우리 회사 문 닫는다는 인식을 하고 있습니다.

◇ 김혜민> 그러니까 미국에서는 아까 말씀하신 집단 소송과 같이 피해자들을 구제할 수 있는 법안들이 이미 있고, 그 법이 기업의 입장에서 굉장히 악랄할 수 있겠네요.

◆ 김명주> 우리나라 경우는 손해가 발생할 경우에 고객들한테 배상하잖아요. 배상을 할 때 아까 말한 것처럼 회사 보유분을 돌려준다거나, 아니면 자기들이 보험을 들어서 보험비로 메꾼다거나 하는데, 그것이 더 이상 안 되면 파산하죠. 파산하면 결국 개인이 책임을 지는 것이잖아요. 그런 개인이 피해당할 수 있는 부분에 대해서 선진국 같은 경우는 제2, 제3의 대안을 마련하고, 원래 회사와 연결해서 제도를 만들어 놓기 때문에 그런 부분에서 회사도 굉장히 보험비도 많이 들고요. 그게 비용이 많이 늘어나게 하는 요소이기는 하지만, 그런 것이 우리가 전반적으로 체질 자체가 많이 바뀌어 있고, 지금 거래소 같은 경우는 몇 년 사이에 100개 이상이 생겼고, 올해만 해도 수십 개가 생기지 않았습니까? 그리고 지난번 해킹사고 났던 곳도 자본금이 거의 1,000만 원이 되는 회사에서 거래하다가 사고가 벌어졌고요. 그렇기 때문에 방치된 상태에서 벌어진 것이기 때문에 어떻게 따지면 저희가 제재를 가하지도 않았고, 가하지 않은 상태에서 벌어졌기 때문에 앞으로 정부에서도 가급적으로 피해자 측면에서 생각해서 어떠한 제한을 더 해야 할지 더 고려해야 하는 상황이 벌어질 것 같습니다.

◇ 김혜민> 정부에서도 당연히 고민하겠지만, 기술자들이나, 개발자들은 엄청 싫어하겠죠?

◆ 김명주> 그렇죠. 일종의 거래소를 대박을 노리는 창업자들의 꿈으로 생각하는 경우가 많습니다. 그래서 가상 화폐를 하나 만들어서 그것을 거래하도록 만드는 것은 아주 짧은 기간 안에 백만장자로 만들 수 있는 꿈으로 많이 알고 있기 때문에, 지금 몇 년 사이에는 스타트업 바람이 불면서 이쪽으로 많이 나가는 분들이 있었거든요. 그것이 다르게 표현하면 제재가 많이 없었기 때문에 그냥 통신판매 업자로 등록하고, 내지는 전자상거래 업체로 등록하고, 그냥 운영해도 되는 것이었지, 은행이나 증권회사처럼 등록하는 것이 아니었거든요. 그런데 아마 이 사건이 발생하면서 정부에서 어떤 형태든지, 제도권 화 시키지는 않더라도 제도권과 비슷한 정도의 요구를 할 것이고요. 그렇게 되면 기술자 입장에서는 선택의 폭이 상당히 줄어들게 되는 것이죠. 창업할 때도 어느 기준을 맞춰야 하는 상황이 발생하게 되고요.

◇ 김혜민> 그러면 교수님께서 판단하시기에 진짜 한, 두 가지 이 규제는 꼭 생겨야 한다고 하는 것을 꼽아 주시겠어요?

◆ 김명주> 지금 사건이 궁극적으로 생기기 전에 이야기했던 것이 있습니다. 거래소에 관한 이야기인데요. 거래소가 너무 우후죽순으로 난립되어 있고, 사건이 거래소 자체 안에서 예를 들어 자신들이 코인을 보유하고 있지도 않은데 많이 보유하고 있는 것처럼 해서 잘못된 거래를 유도하는 거래도 있고요. 그래서 이 거래소를 사람들이 믿을 수 없다, 믿을 수 있도록 국가에서 어느 정도 규제를 했으면 좋겠다, 하는 의견이 계속 있었습니다.

◇ 김혜민> 거래소 설립할 때 국가의 규제가 있었으면 좋겠다?

◆ 김명주> 네, 그리고 거래소에 대한 부분을 상당 부분 모니터링할 수 있는 기관이 있었으면 좋겠다는 것인데요. 이런 것들이 궁극적으로 기술의 바다에 가면 중앙형에서 분산형으로 거래에 대한 기반을 하고 있거든요. 그것하고 상충됩니다. 소비자 입장에서는 안전을 위해서 자꾸 제재를 하고, 중앙집권형으로 뭔가를 해주기를 원하지만, 이제 그렇게 되면 증권거래소처럼 되는 것이죠. 그런데 이런 부분들은 사실 거래소를 통하지 않고, 개인 간 거래를 할 수 있는 기술이기 때문에 그렇게 하는 것에 있어서 찬반 논란이 있을 것은 같습니다.

◇ 김혜민> 그런데 열흘도 안 돼서 이런 사건이 일어났기 때문에 기술 자체에 대한 규제는 아닐지라도 거래소에 대한 질서에 관한 법률, 제재는 필요하지 않을까 싶은데요?

◆ 김명주> 가상 화폐에 대한 보안 이야기가 나올 때, 그 밑에 있는 기술이 블록체인이라는 기술인데요. 이 블록체인 기술이 완벽하다는 이야기를 했어요. 사실 그 부분에 대해서는 이론이 없는데, 문제는 블록체인 기술을 이용한 가상 화폐를 거래하는 개인들, 그다음에 개인이 위탁한 거래소는 기존의 IT 시스템을 다 활용하고 있거든요. 그런데 기존의 IT 시스템들은 보안의 문제가 여전히 존재합니다. 그러니까 밑의 장부나 이런 것을 보관하는 데는 문제가 없을지언정, 그것을 접근하고, 인증하고, 그 사람의 키 값을 어디에 보관할 것인지에 대해서는 여전히 보안의 문제가 있기 때문에 그것에 대한 부분은 기술적으로도 발전해야 하지만, 제도에 의해서 어느 정도 안전한 기반을 마련하는 것이 필요하다고 생각합니다.

◇ 김혜민> 네, 오늘 생생인터뷰 서울여대 정보보호학과 김명주 교수와 함께했습니다. 교수님, 고맙습니다.

◆ 김명주> 네, 감사합니다.

[저작권자(c) YTN radio 무단전재, 재배포 및 AI 데이터 활용 금지]

[생생인터뷰] 김광두 국민경제자문회의 부의장, “정부의 개입, 지나치게 커...”

[생생인터뷰] 백 년을 넘어 기업으로 성장하는 백년가게, 일 년에 백 개 만든다!

: [LIVE] 대한민국 24시간 뉴스채널 YTN

YTN 라디오 소개 | 공지사항 | 방송광고문의 | 개인정보처리방침 | 청소년보호정책 | 기사배열 기본방침 | 고충처리인 | 성폭력 신고센터 | 이용약관 | 편성규약

Family 사이트 ▶
YTN|
YTN 사이언스|
YTN2|
YTN dmb|
남산서울타워

㈜와이티엔 서울특별시 마포구 상암산로76(상암동) l 상호: YTN 라디오 l 등록번호: 서울, 자60085 l 등록일자: 2022.06.03 l 발행일자: 2009.09.07
대표전화: 02-398-8000 l 대표자: 김백 l 편성책임자: 김양원 l 기사배열 책임자: 이종수 l 청소년보호책임자: 김진두