[디지털투데이 김태림 기자] 한국블록체인협회가 1차 자율규제 심사에 통과한 12개의 가상화폐 거래소에 대해 공개했다. 당초 14개의 거래소가 심사에 참여하기로 했으나, 준비 미흡을 이유로 자진 철회한 것으로 나타났다.

일각에서는 정부 주도가 아닌 업계 차원의 자율규제인 만큼 실효성에 의문을 제기하는 목소리도 있다. 이에 대해 협회는 “자율규제 심사 등으로 신뢰가 쌓이다 보면 정부나 은행권도 움직임을 보일 것이고, 이로 인해 자율규제 심사의 영향력도 커질 것”이라는 입장이다.

11일 한국블록체인협회(회장 진대제)는 서울 중구 은행회관에서 기자간담회를 열고 제1차 자율규제 심사결과를 발표했다.

이번 1차 심사에 참여한 업체는 자율규제심사 준비가 된 12개 가상화폐 거래소로, DEXKO(한국디지털거래소), 네오프레임, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인 코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비 코리아 등으로, 모든 거래소가 자율규제 기준을 통과했다. 에스코인과 한국암호화폐거래소 등 2곳은 “준비 미흡”을 이유로 1차 심사 신청을 자진 철회했다.

자율규제 심사는 지난 2월 5일 자율규제위원회 Kick-off 미팅 개최 후, 다수의 자율규제위원회 회의와 거래소 운영위원회 회의를 통해 거래소 회원 자격심사 평가항목 및 심사프로세스를 확정했다. 이후 협회는 지난 5월부터 1차 자율규제 심사를 진행해왔다.

6월 중 예정이었던 자율규제 심사 결과 발표가 미뤄진 이유에 대해 김용대 정보보호위원장(카이스트 교수)은 “지난 5월 1일에 회원사가 제출한 서면 심사자료를 검토하고, 개별 거래소의 미흡한 부분에 대해 보완 요청 거치다 보니 늦어졌다”며 “보완요청을 거쳐 제출된 심사자료를 근거로 각 회원사 실무 책임자 및 임원에 대한 인터뷰를 진행했으며, 이후 추가 자료보완 작업 및 최종 심사를 진행했다”고 설명했다.

협회의 자율규제는 ▲가상화폐 이용자 보호 등에 관한 규정 ▲가상화폐 취급업자의 금전 및 가상화폐 보관 및 관리 규정 ▲자금세탁행위방지에 관한 규정 ▲시스템 안정성 및 정보보호에 관한 규정 등으로 구성돼 있다.

자율규제는 심사는 일반 심사와 보안성 심사로 이뤄졌다. 일반심사에서는 재무정보 체계, 거래소 이용자에 대한 기본 정보제공 체계, 거래소 이용자에 대한 투자 정보제공 체계, 민원관리 시스템 체계, 이용자 자산 보호 체계, 거래소 윤리 체계, 자금세탁방지 체계 등의 항목을 다뤘다.

구체적으로 자기자본 20억원 이상, 보유자산의 관리방법 및 공지 여부,코인 상장절차, 민원관리 시스템 체계, 자산보호 체계인 콜드월렛 70% 이상 보유, 시세조종금지, 내부자거래 금지, 자금세탁방지 부문 등 총 28개의 심사항목을 충족해야 한다.

보안성 심사는 지난 5월 8일까지 제출된 심사자료를 바탕으로 인터뷰 심사를 진행했다. 회원사 보안담당자를 대상으로 6월 2일, 13일, 27일, 그리고 7월 7일까지 총 4차례의 인터뷰 심사가 이뤄졌다.

전하진 자율규제위원장은 “보안성 심사 결과의 경우, 전체 거래소의 보안성은 전반적으로 준수한 편이나, 각 개별 거래소들간의 보안 수준에는 편차가 있었다”고 전했다.

또한 WAS 등 외부서비스 구간 특정 영역에 치중된 점검을 수행하거나 단순 스크립트를 이용한 점검 등의 취약점 점검 절차, 범위 설정 및 방법론 상의 미흡한 부분이 발견된 것으로 나타났다.

아울러 정보보호위원회에서는 거래소 설계, 구현, 운영에 대한 베스트 프랙티스, 기존 사고 사례 분석, 취약점 분석의 방향 등 네거티브 규제를 위한 구체적인 방향에 대해 거래소와 정보보호 업체를 대상으로 거래소 보안 컨퍼런스 개최를 논의중이다.

김 위원장은 “이번 심사를 진행하면서 거래소들이 어떻게 보안을 해야 하는지 궁금해하는 점이 많았다”며 “오는 9월 정보보호 컨퍼런스를 개최할 예정”이라고 말했다.

가상화폐 거래소의 안정성과 투명성 제고 및 이용자 보호를 위한 ▲거래소 내 이상매매거래 탐지시스템 ▲의심거래자 입출금 차단 시스템 ▲해킹 발생 시 상호비상연락망을 통한 공동대응 체계 ▲가상화폐 거래소 단체보험 가입 등을 검토해 이용자를 보호할 수 있는 사전예방 및 사후대책도 준비할 예정이다.

실효성 확보가 관건

일각에서는 자율규제 심사가 실효성을 확보할 수 있는지에 대한 우려도 있다. 체크리스트 형식의 보안감사에서는 각각의 항목에 대해 정성적인 평가를 하기 힘들다는 점이 주요 이유 중 하나다. 예컨대 침입방지시스템(IPS), 망관리시스템(NMS), 패치관리시스템(PMS) 등 솔루션을 구축했는지 여부만 확인하고, 실제 성능 등에 대해서는 확인되지 않는다는 것이다.

또한 협회가 각 항목에 대한 자세한 심사 점수 등을 공개하지 않은 점도 문제다. 등급 구분 없이 모든 거래소를 적격 수준으로 판단한 것이다.

이렇다 보니 자율규제 심사를 통과했다고 해서 가상화폐 투자자들이 심사를 통과한 거래소를 이용할 지는 미지수인 셈이다.

이에 대해 협회 측은 “매년 심사 기준을 점점 강화할 방침”이고, “항목별 구체적인 사항은 거래소별 취약사례로 연결돼 해킹에 악용될 우려가 있어 발표할 수 없다”는 입장이다.

전하진 자율규제위원장은 “심사통과가 완벽한 보안이나 서비스를 의미하는 것은 아니지만, 이용자 보호의 가장 기본적인 요건은 충족되었음을 인증하는 것”이라며 “1차 심사였던 만큼, 향후 가상화폐 시장의 건전성과 이용자 보호를 위해 심사기준은 사전예방 및 사후대책 등의 보완을 통해 꾸 준히 향상시킬 계획”이라 말했다.

또한 “자율규제 심사 등 지속적인 노력으로 신뢰가 쌓이다 보면, 정부 차원에서 이를 인정해 주지 않을까 기대한다”며 “정부나 은행권이 움직임을 보이면 자율규제 심사의 실효성도 커질 것”이라고 덧붙였다.