지난 19일 발생한 가상통화거래소 '유빗'의 해킹 사고와 관련해 정부가 현장 조사 및 대응책 마련에 나섰다. 가상통화거래소 해킹과 개인정보 유출 등 사이버 침해사고가 이어지자 보안점검을 강화하기로 했다.
과학기술정보통신부와 방송통신위원회는 가상통화거래소에 대한 주기적 보안점검과 정보보호관리체계(ISMS) 인증 의무화 등을 골자로 한 사이버보안 및 개인정보보호 체계 강화를 추진한다고 20일 밝혔다.
우선 과기정통부는 유빗 거래소 해킹 사고에 대해 경찰청 등과 공조해 현장 조사를 실시하고 있다고 소개했다. 사고원인이나 해킹기법 상세분석, 해커 수사 등에 주력한다는 계획이다.
과기정통부는 "거래소의 정보보호 강화를 위해 지속적인 보안점검을 실시하여 문제점을 개선하고, 법 위반 사항에 대해서는 엄정하게 대처하되, 가상통화 해킹, 개인정보 유출 등 이용자 피해를 예방하기 위하여 거래소의 사이버보안 및 개인정보보호 대응 역량이 강화될 수 있도록 적극 지원할 것"이라고 밝혔다.
아울러 과기정통부와 방통위는 지난 9월부터 실시한 거래소에 대한 사이버보안 및 개인정보보호 체계점검을 내년에도 지속해 나간다는 계획이다. 과기정통부는 올해 점검 결과 확인된 보안취약점에 대한 개선조치 확인 및 신규 취약점 발굴, 개선 권고 및 관련 기술지원을 실시하기로 했다.
방통위는 올해 점검결과와 조사대상 사업자 대부분이 접근 통제장치 설치·운영, 개인정보의 암호화 조치 등 기술적 보호조치가 미흡한 것으로 나타나, 내년 1월 중 법규 위반 사항에 대해 과태료 등 행정처분을 엄격히 실시할 예정이다.
정보보호관리체계(ISMS) 인증을 의무화하는 방안도 추진된다. 과기정통부는 일정 규모 이상(매출액 100억원 이상, 일일평균 방문자수 100만이상)의 가상통화거래소는 내년부터 ISMS 인증을 받게 하는 등 거래소 정보보호 수준이 향상될 수 있도록 해 나간다. ISMS는 기업의 정보보호 체계의 적절성을 평가⋅인증하는 제도다.
이를 위해 20일 빗썸, 코인원, 코빗, 업비트 등 4개 거래소에 대해 내년 ISMS 인증 의무대상 임을 통보했다. 거래소 보안 강화의 시급성 등을 감안해 조속히 인증을 이행해 줄 것을 당부했다.
또한 거래소 대상의 ‘ISMS 인증 설명회’를 개최, 인증 의무 대상에 해당하지 않은 거래소도 자발적으로 정보보호 수준 향상을 위해 ISMS 인증을 받을 수 있도록 독려해 나갈 계획이다.
방통위는 ISMS 인증 의무대상에서 제외된 중소규모 거래소를 대상으로 ‘개인정보보호 관리체계(PIMS)’ 및 ‘개인정보보호 인증마크(ePRIVACY Mark) ‘지원을 통해 개인정보보호 수준을 제고해 나간다.
정부는 가상통화거래소의 보안 강화도 지원한다. 과기정통부는 정보보호대책 마련, 보안취약점 분석⋅개선 등의 역할을 수행하는 정보보호최고책임자(CISO)를 거래소별로 지정한 후 과기정통부에 신고토록 할 계획이다.
이를 통해 거래소 CISO와 핫라인을 구축하고, 최근 발생하는 해킹 위협과 대응 방향 등을 신속 공유하여 유사 피해를 입지 않도록 지원해 나갈 계획이다. 민간기업과 공동으로 실시하는 ‘사이버 보안 모의훈련’에 거래소의 참여를 적극 유도하여 사이버 사고 발생에 대비한 거래소의 대응 체계를 점검하고 지원할 계획이다.
방통위는 사업자 책임 강화를 위해 개인정보 유출 등 지속적 법규위반 사업자에 대해 ‘서비스 임시 중지조치 제도를 도입키로 했다. 이를 통해 개인정보 유출시 과징금 부과기준을 상향하여 법규 집행력을 강화할 계획이다.
이용자 피해구제 강화를 위해 사업자의 보호조치 미흡으로 인해 개인정보 유출 시 이용자의 피해를 효율적으로 구제하기 위한 ‘집단소송제도’, ‘손해배상 보험·공제 가입 의무화’ 도입을 검토한다.
