출처 : https://www.ddaily.co.kr/news/article/?no=258582

가상자산 시장이 해커들의 주요 공격 타깃으로 떠오르고 있지만, 국내 가상자산거래소 개인정보보호 조치는 여전히 미흡한 것으로 보인다. 국내 가상자산거래소 모두 정보보호관리체계(ISMS) 인증은 받고 있지만, 어디까지나 보여주기 식에 그친다는 평가다. 

ISMS는 금융당국으로부터 신고수리를 받기 위한 최소한 요건이다. 주요 거래소는 인증 의무대상에 포함된다. ISMS는 기업이 정부 정보보호지침을 준수하고 지속해서 보안 시스템을 관리해 나갈 능력이 있는지 평가하는 제도다. 금융보안원에 따르면 지난해 10월까지 가상자산 관련 보안 침해 건수는 지난해 대비 약 13% 증가했다. 이와 같은 상황에서 ISMS 중요성은 나날이 커지고 있다. 

이 ISMS 인증의 중요 요건 중 하나가 최고정보보호책임자(CISO) 지정이다. 이에 따라 업비트, 빗썸, 코인원, 코빗 모두 CISO를 두고 있다.

눈여겨 봐야할 점은 4개 거래소가 모두 CISO직을 두고 있지만, 최고개인정보보호책임자(CPO)를 겸직하게 하거나 별도로 두지 않고 있다는 것이다. 

CISO와 CPO 직무가 비슷해 보이지만, 이 둘을 분리하는 것은 개인정보보호영역을 데이터 보안 업무에서 따로 떼어낸다는 점에서 의미가 있다. 전문가가 선임되고 각자 업무 영역이 잘 분담된다는 전제 하, 이 경우 광범위한 정보 보안 이슈에 효율적으로 대응할 수 있다.

구체적으로 두나무는 CISO로 정재용, 빗썸 조웅현, 코인원은 최중섭이 이름을 올리고 있고, 코빗은 외부적으로 공개하지 않고 있다. 두나무와 빗썸, 코인원, 코빗 모두 CISO가 CPO를 겸직하고 있다고 밝혔다. 

물론 정보통신밥법 제45조 3항에 의거 CISO의 CPO겸직제한은 2021년 8월 기준 해제됐다.

하지만, 개인보안 측면에서 CISO와 CPO분리는 여전히 중요한 요건이라는 게 보안업계 전문가들의 의견이다. 수백만명 이상 고객정보를 다루고 24시간 쉬지 않고 거래가 이뤄지는 거래소 특성상 개인정보보안 강화가 필수라는 시각이다.

최근 해커로부터 디도스 공객을 받고 대량 고객 개인정보가 유출된 LG유플러스도 CISO와 CPO를 별도로 두는 것으로 정보보호 조직을 개편했다. 보안 투자 강화 일환이었다.

가천대학교 최경진 교수는 "CISO와 CPO는 업무영역이 비슷해 보이지만, 관장하는 분야가 다르기 때문에 각자 존재하는 게 보안 강화에서 중요하다"라며 "기술적 측면을 책임지는 CISO와 관리.정책적 측면을 다루는 CPO가 필요할 때 공생하고, 사안에 따라 견제를 해야만 결과적으로 보안 시스템이 강화될 수 있다"라고 강조했다.

이어 "2021년 CISO와 CPO 겸직을 허용하게 법이 개정됐던 것은 기술적 관점과 법적 관점에서 함께 고민하라는 취지였다"라며 "하지만, 실제 기업 현장에서는 상대적으로 CISO 권한이 강하다보니 CPO가 맡는 개인정보 보호 정책 등에 있어 균형이 깨지는 현상이 나타났다"라고 덧붙였다.

한 업계 관계자는 "일부 거래소는 ISMS-P까지 받은 상황이지만, CPO도 제대로 두지 않는 상황에서 인증이 큰 실효성이 있는지 의구심이 든다"라며 "대부분 거래소가 2024년 말까지 다시 ISMS 인증을 받아야 하지만, 여전히 구색맞추기에 불과하다면 나날이 지능화되는 해커들 공격에 취약할 수밖에 없다"라고 지적했다.

한국인터넷진흥원(KISA)에 따르면 업비트 운영사 두나무와 빗썸, 코빗은 ISMS-P, 코인원은 ISMS 인증을 받은 상태다. ISMS가 정보보호 중심으로 인증하는 것이라면, ISMS-P는 이에 더해 개인정보 흐름까지 모두 인증받은 상태로 분류된다.