윤형중
2018년 7월12일 17:16
한국블록체인협회가 1차 자율규제 심사결과를 발표한 지난 11일, 기자회견장에선 “투자자들에게 줄 수 있는 정보가 부족한 것 아니냐”며 자율규제의 실효성에 의문을 제기하는 질문이 여러 차례 나왔다. "거래소마다 보안수준에 상당한 편차가 존재"한다면서도 어느 거래소들이 더 취약한지 밝히지 않은 점, 지난달 해킹으로 암호화폐를 도난당한 빗썸이 보안성 심사를 통과했다는 점 등이 특히 논란이 됐다.
이런 논란은 '자율규제 기구'를 자처하는 블록체인협회의 역할에 대한 협회 내부의 인식과 대중의 기대 간에 간극이 있음을 보여준다. 보안 심사를 총괄한 김용대 블록체인협회 정보보호위원장(카이스트 전자공학과 교수)은 12일 <코인데스크코리아>와의 전화 인터뷰에서 “우리의 역할은 (거래소를) 솎아내는 것이 아니다. 전반적인 (보안) 수준을 높이려는 것”이라고 말했다.
김 위원장은 강제력이 없는 협회의 한계를 인정했다. 그는 ”2016년 (2540만건의)개인정보를 해킹 당한 인터파크도 보안결함이 지적됐지만, ISMS(정보보호관리인증체계)가 연장됐다. 영업을 우려해 ISMS를 연장해준 것이다. 국가기관(한국인터넷진흥원)조차 이런 상황이다”라고 말했다. 그렇다고 협회가 강제력이 없다는 이유로 회원사들의 보안 상황에 손을 놓겠다는 의미는 아니다. 그는 “체크리스트 위주의 심사를 바꿔 질적으로 심사의 수준을 높이겠다”고 말했다.
김 위원장은 이날 오후 자신의 페이스북 계정을 통해 '체크리스트 방식' 심사의 한계에 대해 자세히 설명했다.
취약점 점검에서 할 수 있는 일은 소스코드까지 제공을 하고 내부에 접근을 허용을 하여 공격자가 내부에 물리적으로 침투를 하더라도 자산을 뺏어갈 수 있는 가에 대해 심사를 하고, 가짜 스팸메일을 보내 직원이 이메일을 읽는 지 확인을 하고, 최근 Binance 사고에서 있었던 것 같이, 가격 급등락시 sidekick 적용 등 이상 거래 탐지 등 매우 많은 종류의 취약점 분석이 가능합니다.
어떤 거래소는 이중 대부분을 한 반면, 어떤 거래소는 1-2가지만 구현을 한 곳도 있었습니다. 그렇지만 저희 Checklist는 이런 각각의 취약점 점검의 이행 여부를 물어본 것이 아니라 "정보 및 보안시스템 도입 시 보안 관리 절차 수행 및 취약점 점검 여부"와 "정기적으로 외부 펜테스트를 통하여 취약점 점검 수행 여부"를 물어봤고, 그렇기 때문에 취약점 점검을 안 했다고 이야기를 하기는 힘들었습니다.
설령 저희가 각각의 취약점 점검을 리스트하였더라도 취약점 점검의 수준 또한 보안 회사마다 모두 다릅니다. 즉, positive 규제에서는 했냐 안했냐를 체크할 수 밖에 없습니다. 즉, 포지티브 체크리스트 위주의 규제는 Quality에 대한 심사를 하는 것이 매우 어렵습니다.
김 위원장은 <코인데스크코리아>와의 인터뷰에서 “거래소마다 시스템 구조 자체가 다른 점도 체크리스트 심사의 한계였다. 어느 업체가 어느 리스트를 지키지 않는다고 해도, 보안에 대한 접근 자체가 다른 부분도 있어 (단일한) 체크리스트로 평가가 어려웠다”고 덧붙였다.
김 위원장의 대안은 보안 취약점 점검이 잘 된 사례를 거래소들이 공유하고, 심사의 방식도 질적인 정성평가로 전환하는 것이다. 이를 위해 김 위원장은 9월 중에 컨퍼런스를 열어 블록체인협회 정보보호위원회가 생각하는 보안성 심사방안, 보안이 잘 구축된 사례와 모든 거래소가 미진한 분야 등을 정리해 발표할 계획이라고 밝혔다.
김 위원장은 페이스북을 통해 심사의 세부과정도 공개했다. 그는 “12개의 거래소 중 1차 인터뷰에 통과를 한 곳은 3군데”라며 9개 거래소가 1차 심사에 통과하지 못했다고 밝혔다. 그는 “이미 투자자들이 있는 상태라 이들 9개 거래소 또한 안전성을 높이는 것이 우선이라고 판단”해 “협회를 통해서 심각하게 개선이 필요한 부분에 대해 9개의 거래소에 전달”했다고 밝혔다.
통과하지 못한 거래소를 바로 탈락시키기 보단, 보안 수준을 높이도록 유도했다는 의미다. 1차로 통과하지 못한 9개 거래소에 대해서는 재인터뷰(서류상 구현이 되어있지만, 질문에 대한 대답을 잘 못하는 경우), 재구현(취약점을 개선해 새로 시스템을 구현), 새로운 취약점 분석 및 개선(기존의 취약점 분석이 미약한 경우 새로 분석) 등의 과정을 거쳐 재심사가 진행됐다. 이를 통해 김 위원장은 “이렇게 해서 대부분의 회사의 경우 최소 66개의 요구조건을 대부분 만족하는 상태가 되었고, 이런 경위로 모든 거래소가 통과를 하게 되었다”고 밝혔다.
제보, 보도자료는 contact@coindeskkorea.com