11일 명동 은행연합회 건물에서 제 1차 자율규제 심사 결과 발표 기자간담회가 있었습니다. 급작스럽게 연락을 받고 간 자리였는데요. 그간 한국블록체인협회가 회원사인 암호화폐 거래소들을 대상으로 한 자율규제 심사 결과를 발표하는 자리라 궁금했습니다.

일단 현장에서 공유된 발표문의 경우 아래와 같습니다.

[인사말씀] 

안녕하십니까. ‘한국블록체인협회’ 자율규제위원회 위원장 전하진입니다. 먼저 이렇게 기자간담회에 참석하여 주신 기자 여러분께 감사드립니다. 저희는 오늘 이 자리에서 협회와 회원사들이 오랫동안 함께 준비하고 진행한 암호화폐 거래소 자율규제심사 결과를 발표하고자 합니다.

[제1차 자율규제 심사 결과 발표]

협회의 자율규제는“건강하고 안전한 암호화폐 거래소 생태계”를 구축하고 이용자 보호 방안을 마련하기 위해 준비되었습니다.

자율규제는 암호화폐 이용자 보호 등에 관한 규정, 암호화폐 취급업자의 금전 및 암호화폐 보관 및 관리 규정, 자금세탁행위방지에 관한 규정, 시스템 안정성 및 정보보호에 관한 규정 등으로 구성되어 있습니다.

협회 자율규제위원회는 자율규제를 바탕으로 일반 부문, 보안성 부문을 구분하여 지난 5월부터 제1차 자율규제심사를 진행해 왔습니다. 제1차 자율규제심사는 여러 회원사들 가운데 자체적으로 심사준비가 된 12개 회원사를 대상으로 했습니다. 이 심사는 일반심사와 보안성 심사, 투트랙으로 진행되었습니다.

먼저 일반심사에서는 재무정보 체계, 거래소 이용자에 대한 기본 정보제공 체계, 거래소 이용자에 대한 투자 정보제공 체계, 민원관리 시스템 체계, 이용자 자산 보호 체계, 거래소 윤리 체계, 자금세탁방지 체계 등의 항목을 다뤘습니다.

세부적으로 자기자본 20억원 이상, 보유자산의 관리방법 및 공지 여부, 코인 상장절차, 민원관리 시스템 체계, 자산보호 체계인 콜드월렛 70%이상 보유, 시세조종금지, 내부자거래 금지, 자금세탁방지 부문 등 총 28개의 심사항목을 엄정한 기준으로 심사를 실시하였습니다.

심사는 다음과 같이 진행됐습니다. 먼저 지난 5월 1일에 회원사가 제출한 서면 심사자료를 검토했습니다. 이후 미흡한 부분에 한 보완요청을 거쳐 . 제출된 심사자료를 근거로 5월 30일 자율규제위원들이 각 회원사 실무 책임자 및 임원에 대한 인터뷰를 진행했습니다. 그 이후 추가 자료보완 작업이 진행됐고 최종 심사를 진행했습니다.

저희는 이번 심사가 특히 이용자 보호 부문을 강화할 수 있는 계기가 됐다고 생각합니다. 물론 여러 회원사들은 자체적으로 협회 자율규제 기준 이상의 목표 달성을 위해 노력을 기울일 것입니다.

다음은 보안성 심사에 대해 말씀드리겠습니다. 보안성 심사는 그 특성상 5월 8일까지 제출된 심사자료를 바탕으로 인터뷰 심사를 진행했습니다. 회원사의 책임있는 보안담당자를 대상으로 6월 2일, 13일, 27일, 7월 7일까지 총 4차례의 인터뷰 심사가 진행되었습니다.

보안성 심사 결과의 경우, 전체 거래소의 보안성은 전반적으로 준수한 편이나, 각 개별 거래소들간의 보안 수준에는 편차가 있었습니다.

또한, 특정 영역(WAS 등 외부 서비스 구간)에 치중된 점검을 수행하거나 단순 스크립트를 이용한 점검 등의 취약점 점검 절차, 범위 설정 및 방법론 상의 미흡한 부분이 발견되었습니다.

회원사들에게는 추후 취약점 점검 시 외부 서비스 구간 뿐만 아니라 내부 주요 자산을 보호하기 위한 보안 솔루션 및 내부 업무용 주요 서버 등으로 점검대상을 확대하여 보다 면밀하고 강도 높은 점검이 필요할 것입니다.

본 심사를 통과하였다는 것은 기본적인 보안성을 유지하기 위한 최소 조건을 만족하였음을 의미하며 따라서 강건한 보안 아키텍쳐를 설계했음을 담보할 수는 없습니다.

따라서, 각 회원사는 이와 같은 사실을 인지하고 보안성 향상을 위한 투자를 지속해야 할 것입니다. 과거의 사고 경험과 더불어 현재 발전하고 있는 새로운 공격 및 방어 기술을 지속적으로 연구하고 습득하여 거래소 및 고객의 자산을 보호하기 위한 방법을 점진적으로 고도화해 나가야 할 것입니다.

또한, 이 심사는 심사자료와 각 거래소 자체 진단 결과 및 인터뷰를 기반으로 평가한 것이므로 실제 현장의 보안성을 높이기 위한 노력도 필요할 것으로 판단됩니다.

거래소는 암호화폐라는 금전적 가치가 있는 자산을 보관하고 거래하기 때문에 늘 해커의 공격대상이 될 수밖에 없고 다양한 루트로 공격을 받을 수 밖에 없습니다. 보다 효과적인 보안시스템 구축을 위해 협회 회원사 거래소들은 상호협력 네트워크를 구축할 계획입니다.

보다 발전된 거래소 보안을 위하여 거래소 설계, 구현, 운영에 대한 베스트 프랙티스, 기존 사고 사례 분석, 취약점 분석의 방향 등 네거티브 규제를 위한 구체적인 방향에 대하여 정보보호위원회에서는 거래소와 정보보호 업체를 대상으로 거래소 보안 컨퍼런스의 개최를 논의중입니다.

향후에는 암호화폐 거래소의 안정성과 투명성 제고 및 이용자 보호를 위한 1) 거래소 내 이상매매거래 탐지시스템, 2) 의심거래자 입출금 차단 시스템, 3) 해킹 발생 시 상호비상연락망을 통한 공동대응 체계, 4) 암호화폐 거래소 단체보험 가입 등을 검토하여 이용자를 보호할 수 있는 사전예방 및 사후대책을 준비할 예정입니다.

일반심사와 보안성 심사에 걸친 자율규제 심사 통과는 이용자 보호의 가장 기본적인 요건이 충족되었음을 의미합니다. 국내 수 십개의 거래소 중에 최소한 외부의 심사를 받아 협회가 제시한 자율적인 요건을 갖춘 거래소가 12개가 된 것입니다. 나머지 거래소들도 어떤 식으로든 객관적인 심사를 통해 거래소 운영에 대한 요건을 갖춰야 한다고 생각합니다.

[맺음말]

블록체인 생태계에서 거래소 역할의 중요성과 그 사회적 책임에 대해 깊이 공감합니다. 협회와 회원사 공동으로 추진하는 자율규제는 국내외 첫 사례이기에 지속적인 개선과 안정적인 정착을 위해 함께 노력해야 합니다. 앞으로도 암호화폐 거래소와 한국 블록체인산업이 더욱 건전하게 발전할 수 있도록 언론과 전문가 여러분들의 지속적인 관심과 격려를 부탁드리겠습니다.

전문은 이렇습니다. 물론 현장에서는 여러 질문이 나왔고요. “12개 거래소를 심사했다면 최소한 등급이라도 나눠 말해줘야 하는 것 아니냐”, “편차가 크다고 했으면서 전반적으로 보안 상태가 좋았다고 퉁칠 수 있느냐”, “원래 14개 팀이 심사받는 것으로 알았는데 왜 12개 팀으로 줄었느냐” 등의 내용이었습니다. 아무래도 심사 결과 자체가 상세하진 않아서 이런 질문들이 나온 듯합니다.

질문에 대한 답변은 아래와 같이 오갔습니다.

“12개가 적격이다, 어떤 결함이 있다고 말하긴 어렵고.

저희 기준으로는 회원사 역량을 갖췄다고 보는 겁니다.

개별적으로 누가 취약하다고 얘기했다가는 해커의