개인정보 유출, 해킹에도 ‘적격’…블록체인협회 자율규제심사 논란

[민주신문=조성호 기자] “해킹사고와 보안 심사는 별개다”

한국블록체인협회가 지난 11일 발표한 자율규제심사결과에 대한 논란이 일고 있다. 개인정보 유출과 잇단 해킹 사고가 발생한 암호화폐 거래소에도 ‘적격’ 판정이 내려졌기 때문이다. 협회의 심사 방식도 형식적인 수준에 불과했던 것으로 드러났다.

블록체인협회는 빗썸과 업비트 등 모두 12개 암호화폐 거래소에 대한 자율규제심사를 진행한 결과 모두 적격판정을 받았다고 발표했다. 협회 측은 “각 개별 업체간 보안 수준에 편차가 발견됐지만 거래소들의 보안성은 전반적으로 준수한 편”이라고 밝혔다.

이번 1차 자율규제심사 대상은 빗썸과 업비트(두나무) 등 대형 거래소를 비롯해 코빗, 코인원, 한국디지털거래소 덱스코, 네오프레임, 고팍스(스트리미), 오케이코인 코리아, 코인제스트, 코인플러스, 한빗코(플루토스디에스), 후오비코리아 등 모두 12개 업체다.

협회에 따르면 이번 심사는 △자기자본 20억원 이상 △보유자산 관리방법 및 공지 여부 △코인 상장 절차 △민원관리 시스템 체계 △콜드월렛 70% 이상 보유 △시세조종 금지 △내부자거래 금지 △자금세탁방지 부문 등 총 28개 항목을 점검했다.

하지만 심사는 협회가 작성한 체크리스트를 중심으로 담당자와의 질의응답 형식에 그친 것으로 알려졌다. 특히 현장실사는 이뤄지지 않아 반쪽자리 심사라는 지적이 제기됐다.

이에 대해 전하진 자율규제위원장은 “체크리스트를 통해 보안과 관련해 최소한의 여건을 갖췄느냐는 것을 심사한 것으로 한계가 있었다”며 “각 거래소 자체 진단 결과와 인터뷰를 기반으로 평가한 것으로 현장의 보안성을 높이기 위한 노력이 필요한 것은 사실”이라고 해명했다.

이어 전 위원장은 “협회는 공공기관이나 정부기관이 아니기 때문에 강제적으로 규제를 집행할 수 있는 권한이 없다”면서 “향후 정부로부터 직간접적으로 권한을 부여받아 공동으로 현장검사를 나가는 방안을 검토할 수 있을 것”이라고 덧붙였다.

특히 최근 연이은 해킹사고로 논란이 되고 있는 빗썸이 적격판정을 받은 데 대해서는 “빗썸의 보안 시스템은 상당한 수준으로 판단했다”며 “100% 해킹방지 시스템이란 없기 때문에 오히려 해킹사고와 심사결과는 별개라는 점을 보여주고 싶었다”고 밝혔다. 해킹과 보안은 별개의 문제라는 것이다.

협회는 향후 2차, 3차 심사에서는 구체적이고 실질적인 요건을 갖춰 심사 방식을 강화한다는 방침이다. 특히 기준에 미달하는 거래소의 경우 회원자격을 박탈하는 것도 고려하고 있는 것으로 알려졌다.

하지만 현재 협회에 가입하지 않은 암호화폐 거래소들의 경우 협회의 자율규제심사를 받지 않더라도 운영에 아무런 제약이 없기 때문에 심사에 대한 실효성 논란이 커지고 있다. 협회에 가입된 업체들 사이에서도 오히려 “역차별 아니냐”는 불만의 목소리도 나오고 있는 실정이다.

전 위원장은 이에 대해 “수십여개의 거래소가 영업을 하는 상황에서 12개 업체가 이용자와의 약속을 지키기 위해 노력하고 있다는 것으로 이해해 달라”며 “규제를 받지 않는 업체들은 아무런 제약없이 마음껏 거래를 하고 있는 상황에서 12개 업체들에 대해 부정적으로 평가할 수는 없다”고 말했다.

이어 “최소한의 여건이 갖춰지지 않은 상황에서 사고가 발생하는 것이 가장 큰 문제”라며 “정부가 생태계 안에서 여건을 갖추려고 하는 암호화폐 거래소에 대해서는 혜택을 줘야 한다”고 강조했다.