[서울파이낸스 박시형 기자] 최근 해킹 사건이 발생한 가상통화(암호화폐)거래소 빗썸이 한국블록체인연합회 차원의 보안성 등 1차 심사를 통과해 심사 기준에 대한 논란이 일고 있다.
한국블록체인협회 자율규제위원회는 11일 서울 중구 명동 은행회관에서 기자간담회를 열고 12개 회원사를 상대로 1차 자율규제 심사를 한 결과 12곳 모두 심사를 통과했다고 밝혔다.
심사 대상이 됐던 거래소는 DEXKO(한국디지털거래소), 네오프레임, 두나무(업비트), 비티씨코리아닷컴(빗썸), 스트리미(고팍스), 오케이코인코리아, 코빗, 코인원, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비코리아 등 12곳이다.
이번 심사는 2월까지만 하더라도 23곳이 참여 의사를 밝혔으나 4월에는 14개사로 줄었고, 이후 2곳이 참여를 철회하면서 최종적으로 12곳만 자료를 제출했다.
자율규제 심사는 일반 심사와 보안성 심사로 나눠 이뤄졌다.
보안성 심사는 각 회원사가 제출한 심사 자료를 바탕으로 보안담당자를 4차례 인터뷰 하는 방식으로 진행됐다.
일반 심사는 자기자본 20억원 이상, 보유자산의 관리방법·공지 여부, 코인 상장절차, 콜드월렛 70% 이상 보유, 시세조종금지, 내부자거래 금지 등 28개 항목에서 심사됐다.
심사 결과 거래소별 보안 수준의 편차가 컸지만 협회 측은 세부 사항은 공개하지 않고 일괄 통과 사실만 발표했다.
전하진 자율규제위원장은 "거래소의 보안성은 전반적으로 준수한 편이나 개별 거래소간의 보안 수준에 편차가 있었다"며 "취약점 점검 절차와 범위 설정, 방법론 상의 미흡한 부분이 발견됐다"고 말했다
이 때문에 심사가 체크리스트 항목만 충족하면 되는 형식적인 절차에 그쳤다는 비판이 나온다.
어떤 거래소는 소스코드 취약점까지 점검하지만 다른 거래소는 웹 인터페이스에 대해서만 취약점검을 하더라도 두 거래소 모두 주기적으로 취약점 점검을 하고 있다고 체크할 수 있다는 것이다.
또 심사 과정 중 12곳 거래소 중 9곳의 자료가 미비해 4~5차례 에 걸쳐 인터뷰를 하는 동안 기본적인 요구조건을 충족할 때까지 시간을 연기한 것도 문제로 지목된다.
이에 대해 전 위원장은 "최고의 보안 수준이 아니라 최소기준을 제시한 것"이라고 말했다.
최근 해킹 사고가 발생한 빗썸이 보안성 심사를 통과한 것에 대해서도 보안 강화만으로 해킹을 모두 막을 수 없으며 추후 심사를 강화하더라고 전면 예방하기 힘든 부분이라고 설명했다.
