국내 암호화폐 거래소가 블록체인 생태계 활성화와 암호화폐 시장에서 제 역할을 하기 위해선 넘어야 할 산이 많다. 이를 제도적, 기술적, 관리적 측면에서 하나씩 짚어보자.

가장 시급한 것은 ‘거래소의 법적 지위’부터 명확히 하는 것이다.

올해 초 공정거래위원회는 “암호화폐 거래소를 통신판매업자로 볼 수 없다”며 통신판매업의 지위를 박탈했다. 그러나 정작 국회는 현행법상의 통신판매업의 일종으로 거래소를 간주하고 관련 법 개정을 추진 중이다. 행정부와 입법부 사이의 인식 차이는 관련 규제 마련을 지연시키는 요인이 된다. 이로 인한 피해는 고스란히 투자자들 몫이다. 조속한 개선이 필요한 이유다.



거래소가 금융회사가 아닌 통신판매업자가 되면, ‘전자상거래 등에서의 소비자 보호에 관한 법률’을 적용 받게 돼 해킹에 따른 투자자 피해 구제가 어렵다. 금융업으로 분류해야 ‘예금자 보호제도’와 같은 투자자 보호 장치를 마련해 구제 받을 수 있는 길이 가능해진다. 거래소에 대한 명확한 지위 부여는 투자자 보호를 위한 중요한 첫걸음이다.

또 암호화폐 거래소의 망분리 의무적용을 검토해야 한다. ‘개인정보보호법 제33조’는 5만 명 이상의 민감정보 혹은 고유식별정보를 처리하는 공공기관에 대해 보유한 개인정보의 안정성을 확보하기 위해 필요한 조치를 취하도록 하고 있다. 2012년 발생한 대규모 개인정보 유출 사건 이후 ‘개인정보처리시스템에 접근하는 컴퓨터는 외부 인터넷망과 분리해야 한다’는 조항이 신설됐다. 이어 ‘금융권 망분리 가이드라인’, ‘개인정보보호법 시행령’, ‘전자금융감독 규정’ 등이 공포되며 은행, 카드 및 보험사, 제2금융권까지 물리적 망분리 작업을 의무화했다. 현재 일부 거래소도 망분리 체제를 채택하고 있지만, 개념상 망분리에 불과해 실효성이 의심스러운 상황이다.

거래소가 사이버 공격으로부터 안전하기 위해선 내부시스템을 외부 네트워크망과 분리 시키는 작업부터 먼저 해야 한다. 금융기관처럼 망분리를 의무적으로 적용할 필요가 있다.

그리고 암호화폐 거래소에 특화된 보안 인증제도도 서둘러 적용해야 한다.

올해 초 과학기술정보통신부와 한국인터넷진흥원(KISA)은 거래소 보안 취약성 점검을 진행한 결과, 10곳 중 한 곳도 기준을 통과하지 못했다. 추가 점검과 재평가가 이뤄지고 있지만, 거래소의 자발적 노력은 여전히 의심스럽다. 거래소의 적정 보안 수준을 보장하기 위해 최소한의 인증제도 도입이 필요한 이유다.

과기정통부와 방송통신위원회는 거래량 상위 4개 거래소를 정보보호관리체계(ISMS) 인증 의무대상으로 선정하고 현재 심사 중이다. 그러나 ISMS 인증은 인터넷 사업자의 운용에 관한 보안 규정이어서 비교적 큰 금액의 거래가 이뤄지는 거래소의 보안 규정으로는 충분하지 못한 실정이다.

또 거래소 4곳에만 적용하는 것은 너무 적다. 인증대상을 확대 시켜 적용하거나 거래소에 특화된 인증제도를 마련해 거래소가 자발적으로 보안 취약점을 개선하도록 해야 한다. 거래소 인증 획득은 투자자들에게 해당 거래소에 대한 신뢰 형성을 도모하여 보다 안정된 암호화폐 거래 환경을 조성할 수 있다.

마지막으로 거래소 설립의 인가제 방식을 고려해야 한다.

지금은 신고제다. 구청에 수수료 4만원만 내면 누구나 가능하다. 거래 수수료는 증권사 수수료에 최대 30배까지 받기도 한다. 거래소를 엄청난 수익 사업으로 생각하고, 자기만의 수익 모델이 없어도 거래소를 설립한다. 은행처럼 투자자 보호를 위한 자기 자본금도 필요 없다. 우후죽순 거래소가 설립되는 이유다. 국내 시장이 혼탁해 졌다.

미국과 영국, 독일, 스위스, 일본 등 대부분의 나라는 거래소에 대해 등록제 또는 인가제를 적용한다. 건전한 거래소 구축과 투자자 보호를 위해 필요한 최소한의 조치인 셈이다. 한국도 거래소의 안전성 확보를 위해 인가제 도입과 ‘거래소 설립표준’ 등의 기준을 도입해야 한다.

앞서 거래소에 필요한 조치들을 짚어봤지만, 사실 가장 중요한 것은 투자자 개인의 노력과 관심이다. 투자자들이 올바른 거래소를 선택함으로써 자정기능이 작동하도록 해야 한다.

거래소를 선택할 때는 몇 가지 원칙이 있다.

우선 거래소가 일정 금액 이상은 반드시 콜드월렛(Cold Wallet)에 저장하도록 권고하는 곳을 써야 한다. 거래소에 보관하는 것보다 콜드월렛 또는 개인월렛을 설치하고 관리하는 것이 안전하다. 콜드월렛은 인터넷과 분리된 지갑에 코인을 저장하는 방식이다. 즉각적 외부 인출이 불가능하다는 불편함이 있지만, 해킹도 사실상 불가능하고 내부자가 해킹해도 외부 인출 이전에 차단할 수 있는 장점이 있다. 거래소가 이와 같은 기본 원칙을 잘 지키고 있는지 살펴봐야 한다.

또 거래량과 수수료가 적당한지도 따져야 한다. 지나치게 거래량이 적거나 많은 경우, 서버장애로 가격의 급변동이 우려된다. 다른 거래소에 비해 현저히 낮은 수수료도 투자자를 현혹하기 위한 요인일 수 있고, 피싱의 위험도 있는 만큼 주의해야 한다. 특히 거래소 부실로 인한 손해는 예방이 불가능하기 때문에 거래량을 통한 거래소의 안정성을 확인한 후 거래하는 것이 좋다.

이런 점등을 감안한 후 비교적 안전하다는 거래소 위주로 이용할 것을 추천한다.

거래소 이용은 늘었지만, 보안과 안전에 대한 신뢰는 여전히 낮다. 잦은 해킹 시도를 반면교사 삼아 새로운 전환점을 마련해야 한다. ‘암호화폐 거래 무조건 금지’는 최선의 전략이 아니다. 국내 거래소를 막는다고 해도 해외 거래소를 통해 언제든 거래가 가능하다. 전 세계 거래소가 동시에 문을 닫지 않는 한 암호화폐 거래를 원천봉쇄하는 것은 불가능하다.

비합법적 거래를 막고 인가된 거래소를 통해 투명한 거래가 활성화될 수 있도록 정부와 투자자, 거래소가 삼위일체로 합심하고 노력해야 한다. 더 이상 수수방관으로 골든타임을 놓쳐선 안 된다. /이화여대 융합보안연구실

우승호 기자

derrida@sedaily.com