일반심사·보안성심사 투 트랙거래소마다 보안수준 편차 커“심사통과는 최소요건에 불과”
11일 한국블록체인협회는 서울 중구 명동 은행회관에서 기자간담회를 열고 제1차 자율규제심사 최종결과를 발표했다. 12개 회원사를 대상으로 한 이번 심사에서 모든 거래소가 통과했다.
심사는 협회 산하 자율규제위원회가 지난 5월부터 ‘일반 심사’와 ‘보안성 심사’ 두 가지로 진행했다. 먼저 일반 심사는 ▲재무정보 ▲이용자에 대한 기본 정보제공 ▲이용자에 대한 투자 정보제공 ▲민원관리 시스템 ▲이용자 자산 보호 ▲거래소 윤리 ▲자금세탁방지 등 7가지 체계에 대해 28가지 세부항목에 따라 이뤄졌다. 협회는 자기자본 20억원 이상, 보유자산의 관리방법 및 공지 여부, 코인 상장절차, 콜드월렛 70% 이상 보유, 시세조종 금지 등 엄정한 기준으로 심사를 진행했다고 설명했다.
일반 심사는 서면을 통해 진행됐다. 협회는 지난 5월1일 각 거래소가 제출한 서면 심사자료를 검토했으며, 미흡한 부분에 대한 보완 요청을 거쳤다. 5월30일 협회 자율규제위원들이 각 거래소 실무 책임자 및 임원들과 인터뷰를 진행했다. 이후 추가 자료보완 작업이 진행됐고, 최종 심사를 진행했다.
보안성 심사는 각 거래소가 제출한 심사자료를 바탕으로 총 8개 부문에 대해 점검하는 방식으로 진행됐다. 협회는 지난 5월8일까지 제출된 자료를 바탕으로 인터뷰 심사를 진행했다. 이어 각 사의 보안담당자를 대상으로 6월2일, 13일, 27일 그리고 7월7일까지 총 네 차례의 인터뷰를 진행했다.
협회는 보안성 심사결과, 모든 거래소가 전반적으로 준수한 보안 수준을 유지하고 있었다고 발표했다. 그러나 개별 거래소들 간의 보안 수준에는 큰 편차가 존재한다고 밝혔다. 협회는 보안 수준이 높은 거래소와 낮은 거래소를 구체적으로 공개하지는 않았다. 이에 대해 전하진 한국블록체인협회 자율규제위원장은 “거래소 보안과 관련된 부분을 공개하면 해킹 공격 등에 노출될 위험이 있기 때문”이라고 설명했다.
협회는 서면과 인터뷰를 통한 ‘체크 리스트’ 방식으로 이뤄진 1차 심사에 대한 한계를 인정했다. 최소한의 정량적인 평가는 가능하지만, 정성적인 평가는 미흡했다는 것이다. 김용대 한국블록체인협회 정보보호위원장은 “당초 체크 리스트 방식의 심사에 대해 반대했지만, 현실적인 여건상 어쩔 수없이 그대로 진행하게 됐다”면서 “예컨대 ‘침입탐지 시스템을 갖추고 있는가?’라는 질문은 시스템의 사용 여부만 판단할 수 있을 뿐, 해당 시스템의 성능까지는 파악할 수 없는 맹점이 있다”고 설명했다. 협회는 향후 진행되는 심사부터는 직접 실사를 나가는 등 더욱 세밀한 심사를 진행한다는 방침이다.
이번 자율규제 심사결과에 대해 협회는 자율규제의 수준에 대해 하나의 기준을 마련했다는 점에 큰 의의를 뒀다. 전하진 위원장은 “심사를 진행하면서 개별 거래소들도 어느 정도 수준까지 기준을 충족해야하는지 혼란스러워했다”면서 “협회의 자율규제안이 일종의 가이드라인이 됐으며, 심사 과정에서 거래소와 협회가 유기적으로 소통하면서 거래소 스스로도 만족스러운 수준까지 기준을 충족하게 됐다”고 말했다.
그러나 협회는 이번 심사를 통과했다는 것이 거래소가 완벽한 보안 수준 등을 갖췄다는 의미는 아니라고 재차 강조했다. 전 위원장은 “일반 심사와 보안성 심사에 걸친 자율규제 심사 통과는 이용자 보호를 위한 가장 기본적인 요건이 충족됐음을 의미한다”며 “이러한 최소한의 요건도 갖추지 못한 거래소들이 국내에만 수십개가 존재하는데, 이들도 어떤 식으로든 객관적인 심사를 통해 거래소 운영에 대한 요건을 갖춰야 한다”고 말했다.
한편, 이번 심사에 통과한 거래소는 빗썸(비티씨코리아닷컴)과 업비트(두나무), 코인원, 코빗 등 대형 거래소를 비롯해 DEXKO(한국디지털거래소), 네오프레임, 스트리미(고팍스), 오케이코인 코리아, 코인제스트, 코인플러그(CPDAX), 플루토스디에스(한빗코), 후오비 코리아 등 총 12개다.
뉴스웨이 정재훈 기자
skjjh@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글