빗썸이 제1금융권 수준의 정보보안 인력 및 예산 시스템을 구축했음에도 불구하고 350억원 규모의 암호화폐를 해킹당했다. 빗썸이 매달 수십조 원에 달하는 금융거래가 이뤄지는 암호화폐 거래소로서 고객 보호를 위한 책임을 다하겠다는 의미가 되색됐다.
지난달 28일 암호화폐 거래소 빗썸은 금융업계의 대표적 정보보호 조항인 5·5·7 규정(전자금융감독규정 3장 2절 8조 2항)을 자율적으로 준수한다고 밝혔다. 암호화폐 거래소 중 최초의 사례라고 홍보했다.
5·5·7 규정은 2011년 금융당국이 개정한 전자금융감독규정에 포함된 내용이다. 금융사에 전체 인력의 5%를 IT 전문인력으로, IT 인력의 5%를 정보보호 전담 인력으로, 전체 예산의 7%를 정보보호에 사용하도록 권고한 사항이다.
빗썸은 20일 공지사항을 통해 “어제 밤부터 오늘 새벽 사이 350억원 규모 암호화폐를 탈취당했다”며 “별도 공지가 있을 때까지 암호화폐 입출금 서비스를 중단한다”고 알렸다.
현재 남은 자산은 콜드월렛으로 이동, 보관하고 있다는 것이 빗썸의 설명이다. 빗썸은 “자산 전량을 안전한 콜드월렛에 이동 조치하여 보관되고 있다”고 설명했다.
해킹 피해는 회사에서 변상하겠다는 방침이다. 빗썸은 “유실된 암호화폐는 전부 회사 소유분으로 충당할 예정”이라며 “안심하시기 바란다”고 강조했다.
빗썸 관계자는 “이용에 불편을 드려 죄송하다”며 “회원들의 자산 보호를 최고의 목표로 삼고 빠른 시일 내에 서비스를 재개하도록 최선을 다하겠다”고 말했다.
빗썸은 전자금융감독규정 내 5·5·7 규정을 모두 따르고 있다. 권고 사항인 만큼 꼭 지켜야 하는 것은 아니지만, 글로벌 암호화폐 거래소로서의 책임감과 의무를 다하겠다는 고객과의 약속을 지키기 위해서는 해당 규정을 준수해야 한다고 판단했기 때문이다.
2018년 5월 현재 빗썸 전체 임직원 대비 IT 인력 비율은 약 21%이며, IT 인력 중 정보보호를 담당하는 비율은 약 10%다. 또한 빗썸 연간 지출예산에서 약 8%가 정보보호 관련 활동에 사용된다.
빗썸은 매달 수십조 원에 달하는 거래가 이뤄지는 상황에서 안전한 거래를 통해 고객 자산을 보호하는 일만큼 중요한 일은 없다며 보안체계 확립을 위한 투자는 금액이 얼마든 아끼지 않을 방침이라고 밝혔다.
▲ 사진=빗썸빗썸은 5·5·7 규정 준수 외에도 다양한 정보보안 시스템을 구축하고 있다. 2월 국내 암호화폐 거래소 최초로 통합 보안 솔루션 ‘안랩 세이프 트랜잭션’을 도입했으며, 모바일 애플리케이션에는 ‘V3 모바일 플러스 2.0’ 백신 솔루션과 ‘Droid-X3.0’ 솔루션을 탑재했다.
또 거래소와 전자지갑의 연결점이 없도록 거래소 웹 사이트와 전자지갑을 분리 운영해 만일의 사태에 의한 피해도 예방하고 있으며, 365일 24시간 상시 침해사고 관제와 모니터링을 통해 대규모 디도스 공격에도 거래가 가능하도록 ‘DDoS 공격 차단 클린존 시스템’ 등을 운영하고 있다.
아울러 정보보호관리체계(ISMS), 개인정보보관리체계(PIMS), 정보보안국제표준(ISO27001) 등 공인된 보안 관련 인증체계 획득을 적극 준비 중이다.