빗썸은 유실된 암호화폐 전부를 회사 소유분으로 충당한다. 회원 자산은 콜드월렛 등에 이동 조치했다. 회원 피해는 전체 보상한다고 발표했지만 거래소 안전성 논란은 커졌다.
빗썸은 20일 한국인터넷진흥원(KISA) 침해사고 발생 신고를 했다. KISA는 즉시 현장 점검을 실시했다. 침해사고 원인과 공격자는 밝혀지지 않았다.
빗썸은 암호화폐 입출금 서비스 안전성을 확보할 때까지 당분간 거래서비스 외 입출금 서비스를 중단한다고 공지했다. 입출금 서비스 재개 일정 등은 확정되지 않았다. 변동성이 심한 암호화폐 시장에서 입출금 서비스 중단은 치명적이다.
빗썸은 지난해 개인정보 유출 해킹 사고로 방송통신위원회에서 과징금 4350만원과 과태료 1500만원 행정처분을 받았다. 당시 빗썸은 보안을 강화하겠다고 발표했다.
2월 제1금융권에 적용하는 통합보안 솔루션 도입을 홍보했다. 금융업계 대표 정보보호 조항인 '5·5·7 규정'도 준수한다고 공개했다. 5·5·7규정이란 전체 인력 5%를 정보기술(IT) 전문인력으로, 이 중 5%를 정보보호전담 인력으로 구성하는 내용이다. 전체 예산 7%를 정보보호에 사용한다는 것도 포함된다. 금융당국의 금융사 대상 권고 사항이다.
이번 사고로 빗썸이 보안강화 대책을 제대로 이행하지 않았다는 지적이다. 정보보호관리체계(ISMS) 인증 대상 기업이지만, 획득하지 못했다. 4월 KISA에 ISMS 인증 신청을 했지만 예비점검 결과 준비미흡으로 보완 조치 후 재신청 요구를 받았다.
보안전문가는 “빗썸은 암호화폐거래소 가운데 업력이 오래된 곳으로 시스템과 서비스 구조가 복잡하다”면서 “지난해 사고 후 일정 부분 보안 투자가 이뤄졌지만 체계적 대응은 아니었다”고 말했다. 이어 “암호화폐거래소 공격자는 최고 해킹 수준을 갖고 있다”면서 “이런 공격자에 대응할 보안 프로세스를 만들어야 한다”고 밝혔다.
저작권자 © PRESS9 무단전재 및 재배포 금지