국내 가상화폐 거래소의 취약한 보안이 다시 도마 위에 올랐다. 해킹 공격에 뚫려 고객 자산을 도난당한 가상화폐거래소 ‘유빗’이 파산 절차에 들어갔기 때문이다. 국내에서 가상화폐 해킹이 발생한 것은 네 번째다. 야피존이 지난 4월 전자지갑을 해킹 당해 55억 원 상당의 비트코인을 도둑맞았고, 6월에는 국내 대표 가상화폐 거래소인 빗썸(회원 3만6천여 명 정보 유출)이, 9월에는 코인이즈(21억 원 상당 가상화폐 도난)가 해킹을 당했다. 야피존에서 이름만 바뀐 유빗은 해킹 피해에 대한 경찰 수사가 진행되던 와중에 다시 해킹을 당했다. 국내에 가상화폐 열풍이 불면서 하루 조(兆) 단위 거래가 이뤄지고 있다지만 사실 거래소의 보안은 허술하기 짝이 없다. 지난달 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주요 가상화폐 거래소 10곳을 보안 점검했는데 모두 낙제점으로 나왔다. 하지만 조치는 개선 권고에 그쳤다. 가상화폐 거래소가 해킹에 취약한 것은, 겉으로는 개인 간 거래 같아도 실제로는 거래소 컴퓨터 안에 가상화폐를 보관해 놓고 판매하는 구조이기 때문이라고 한다. 가상화폐 해킹이 북한 소행일 가능성도 제기된다. 국가정보원은 올해 들어 국내에서 발생한 일련의 가상화폐 거래소 해킹이 북한 소행이라는 증거를 확보해 검찰에 제공했다고 한다. 미국 백악관과 영국 외교부도 전 세계 병원과 은행, 기업 네트워크를 마비시킨 이른바 ‘워너크라이’ 공격을 북한 소행으로 지목했다. 토머스 보서트 백악관 국토안보보좌관은 19일 브리핑에서 “면밀한 조사 결과 워너크라이 사이버 공격이 북한 정권의 지시로 이루어진 소행이라는 다수의 증거를 확보했다”고 발표했다. 끊임없이 나돌던 북한 배후설이 사실로 확인한 셈이다. 핵·미사일 도발로 국제사회에서 고립된 북한이 앞으로도 가상화폐를 노릴 개연성은 높다. 빼내기만 하면 쉽게 현금으로 바꿀 수 있고 상대적으로 보안은 취약하기 때문이다. 국정원과 국군사이버사령부의 사이버 테러 방어 능력을 강화하는 것도 시급한 상황이다.

현행법상 가상화폐 거래소는 ‘통신판매사업자’로 분류된다. 그래서 신고만 하면 누구나 거래소를 열 수 있다. 진입장벽이 낮아서인지 대부분 서버 규모가 작고 보안 수준도 턱없이 낮다는 게 전문가들의 진단이다. 현재 국내 가상화폐 거래소는 30여 곳으로 늘어났고, 전체 거래액은 코스닥과 맞먹는다고 한다. 거래소에 금융사업자에 준하는 정보보안시스템 구축과 인력 확보 방안이 시급한 이유다.