들어가며

2008년 비트코인이 탄생한지 10년이 흘렀다. 사람들은 기존 '중앙집권적' 금융질서를 '탈중앙화'라는 혁신적 패러다임으로 이끈 암호화폐에 열광했다. 많은 사람들이 정부와 중앙은행의 엄격한 통제 안에서 운영되던 금융체계에서, 모든 참가자들이 자율적 권한을 갖는 새로운 체계로의 변화에 주목했다. 현재 금융시스템은 개입할 수 있는 힘에 따라서 분명하게 서열화되어 있다. 미국 싱크탱크 해리티지재단 소속 앤서니 킴 연구원은 2018년 한국에서 열린 '키 플랫폼 2018 컨퍼런스'에서 "지금 시대의 불공정함과 기회 상실에 분노한 이들은 투명하지 않은 중앙집중적 의사결정 구조를 불신한다. 중앙에서 과감히 탈주해 투명성과 공정성에 기반한 영구적 신뢰시스템을 구축할 수 있는 블록체인에 열광한다"고 진단한 바 있다.

우리나라에서는 특히 젊은층을 중심으로 암호화폐에 열광했다. 정부는 이를 단순히 투기로 인식하였고, 암호화폐와 블록체인을 분리시키는 정책을 현재까지 유지하고 있다. 이에 따라 암호화폐에 대한 정책적 대응이 충분히 이루어지지 않아 암호화폐 거래소 해킹 사건의 단초가 되고 있다. 본고에서는 암호화폐 거래소 해킹 사건에 초점을 두어, 국내 거래소 보안과 관련된 구조적 문제점과 해외 거래소 운영 상황을 살펴보고, 거래소 해킹 피해를 막기 위한 정책적 고려사항을 제시하고자 한다.

암호화폐 거래소 해킹 사건 사례

2018년 6월 20일 암호화폐 거래소 빗썸이 해킹 당하여 약 350억원 규모의 암호화폐가 도난당했다. 빗썸은 2017년에도 약 55억원 규모의 비트코인을 해킹으로 도난당한 바가 있다. 2년 동안 두 차례나 해킹 당한 것이다. 그러나 비단 빗썸 사례뿐 아니라, 암호화폐 거래소에 대한 해킹 사건은 지속적으로 발생하고 있다. 아래는 현재까지 알려진 국내 암호화폐 거래소 해킹 사건 목록이다.

○ 2017년 4월22일 유빗(야피존) 해킹 : 비트코인 약 55억원 규모 도난
○ 2017년 6월29일 빗썸 해킹 : 비트코인 약 55억원 규모 도난, 일부 회원 금전 피해
○ 2017년 9월23일 코인이즈 해킹 : 21억5,800만원 규모 피해
○ 2017년 12월19일 유빗 2차 해킹 : 암호화폐 전체 자산 중 17%인 172억원 손실을 입고 파산
○ 2018년 6월10일 코인레일 해킹 : 400억원 규모의 암호화폐 9종 해킹
○ 2018년 6월20일 빗썸 2차 해킹 : 350억원 규모의 암호화폐 도난

위에서 볼 수 있듯이 거의 분기 간격으로 엄청난 규모의 해킹 피해가 발생하고 있다. 개별 거래소 문제가 아닌 구조적인 문제라는 것이다. 사고 때마다 화제가 되고 있지만 근본적인 대책은 나오지 않고 있다.

암호화폐의 원리와 현실적 문제점

암호화폐의 가장 큰 장점은 중앙에서 거래를 증명하는 과정이 없다는 것이다. 법정화폐의 경우 거래는 은행에 의해 관리됨으로써 거래 유효성이 증명된다. 그러나 암호화폐의 경우 이와는 달리 탈중앙화된 P2P 방식으로 거래가 이루어진다. 거래의 유효성은 블록체인 기술로 이루어지는데 이는 암호화폐 참가자 네트워크의 과반수 이상이 거래를 증명하는 방식이다.

그러나 완전히 탈중앙화된 상황에서는 블록체인 생성, 즉 네트워크에서 거래의 유효성을 확인하는 과정에 많은 시간이 소요된다. 더불어 채굴을 통해 암호화폐를 획득하는 것이 아니라 법정화폐로 기존의 암호화폐를 구매하려는 수요도 존재한다. 이러한 기술적인 문제와 사회경제적 문제가 존재하기 때문에 암호화폐가 탈중앙화 되기까지는 어느정도 시간이 걸릴 것으로 예상된다.

위와 같은 상황을 해결하기 위해 암호화폐 거래소가 등장했으며, 대부분의 암호화폐 거래가 거래소를 통해 이루어지고 있다. 특히 고객이 구매한 암호화폐를 직접 보유하는 것이 아니라, 거래소가 대신 보관하는 경우도 많다. 이러한 상황은 암호화폐 거래소가 사실상 경제 시스템의 은행 또는 증권거래소 역할을 하는 것이며, 암호화폐 발생 철학과 동떨어진 까닭에 많은 문제를 야기한다. 

원칙적으로 암호화폐가 완전히 탈중앙화되어 거래되는 상황이라면, 공격자는 수많은 개별 네트워크 참여자가 직접 보관하고 있는 개별 암호화폐 지갑을 해킹하여야 한다. 그러나 현재 시스템에서는 거래소가 고객들의 암호화폐를 대신하여 보관하고 있기 때문에, 공격자가 거래소에 대한 해킹만 성공하면 거액의 암호화폐를 탈취할 수 있다. 이는 도둑이 개별 가정에 침입하여 절도를 하는 것보다, 은행 시스템에 침입하여 절도를 하는 것이 훨씬 더 큰 보상을 얻는 것에 비유할 수 있다. 더불어 암호화폐 거래소는 법정화폐를 취급하는 금융기관 수준의 보안 시스템을 유지해야 하는 의무가 없으며, 스타트업 수준의 많은 암호화폐 거래소가 그러한 보안 시스템을 구축할 수 있는 여력도 거의 없다. 이러한 까닭에 거래소는 해킹의 아주 좋은 표적이 되고 있는 것이 현실이다.

거래소 규제는 왜 아직 마련되고 있지 않나

그렇다면 왜 암호화폐 거래소에 대해 강력한 보안 규제가 적용되고 있지 않는 것일까? 법률적으로 현재 암호화폐 거래소는 전자상거래법상 '통신판매업자', 정보통신망법상 '정보통신서비스제공자'로 규정되어 있다. 따라서 현재로서는 정보통신망법에 따른 개인정보 침해 발생에 대한 규제만 가능하다.

2017년 12월 과학기술정보통신부(이하, 과기정통부)와 방송통신위원회는 국내 암호화폐 거래소 보안 점검을 강화한다고 밝히고, 암호화폐 거래량이 국내에서 가장 많은 빗썸, 코인원, 코빗, 업비트, 네 개 업체에 대해 정보보호관리체계(ISMS) 인증 의무대상으로 정한 바 있다. 또한 과기정통부는 암호화폐 거래소에 정보보호최고책임자(CISO)를 의무적으로 지정하도록 지침을 내리기도 하였다. 그러나 ISMS 인증은 일반 인터넷사이트 운용에 관한 보안 규정이어서 수백, 수천억 원이 오가는 금융 보안 규정으로는 매우 불충분하다. 다시 말해서 인터넷 상거래 사이트에서 고객정보 유출 시 적용되는 수준의 규제가, 막대한 가치의 화폐가 유입되고 있는 암호화폐 거래소에 적용되고 있는 것이다.

이처럼 터무니없이 약한 규제가 적용되는 결정적인 이유는 현재 국내법상으로 암호화폐의 법적 지위가 명확하지 않아, 거래소에 대해 금융기관 수준의 규제를 강제할 법적 근거가 없기 때문이다. 거래소에 금융기관 수준의 보안 규제를 적용하기 위해서는 암호화폐에 법정화폐에 준하는 법적지위를 부여해야 하는데, 이는 현 정부가 암호화폐를 투기수단으로 바라보는 기본 입장과 배치된다.

암호화폐 거래소 규제에 관한 해외 사례

국가별로 암호화폐에 대한 정책적인 접근 방식이 다르며, 이에 따라 암호화폐 거래소와 암호화폐공개(ICO)에 대한 규제도 다양한 방식으로 이루어지고 있다.

◇ 중국 - 가장 엄격한 암호화폐 금지 정책을 고수하고 있으며, 2017년 9월 암호화폐공개(ICO)를 통한 자금 조달과 자국 내 암호화폐 거래소 운영을 금지했다. 또한 올해 초에는 자국 내 암호화폐 채굴을 전면 금지했으며, 최근에는 해외거래소 접속까지 전면 금지했다. 다만 인민은행 산하 디지털 통화연구소가 주도해 정부가 발행하는 중앙집중형 암호화폐를 검토하고 있다고 밝힌 바 있다.

◇ 미국 - 블록체인 기술에 대해서는 긍정적인 태도를 취하고 있지만 암호화폐공개(ICO)에 대해서는 조심스러운 태도를 취하고 있다. 암호화폐를 증권에 준하는 것으로 인식하고, 증권거래위원회(SEC)가 연방 증권법 테두리 안에서 엄격하게 관리하고 있다. 과세와 관련해서 미국 연방국세청(IRS)은 비트코인과 같은 암호화폐의 성격을 규정하고, 과세 가이드라인을 제시하여 주식에 준하는 자산으로 간주하여 자본이득세를 부과하고 있다. 2018년 초 코인베이스에서 확보한 거래정보를 토대로 향후에는 암호화폐 시세차익에 따른 자본이득에 대해 자본이득세를 부과할 예정이다. 또한 암호화폐는 파생상품의 기초자산으로 인정되어 시카고옵션거래소(CBOE), 시카고상품거래소(CME)에서는 비트코인 선물이 상장되어 거래되고 있으며, 비트코인 지원 상장지수펀드(ETF) 상품에 대한 심사도 진행 중이다. 최근에는 미국 내 암호화폐거래소 네 곳(제미니, 비트스탬프, 비트렉스, 비트플라이어 USA)을 중심으로 가상통화상품협회(VCA)를 조직하여, 상품선물거래위원회(CFTC)와 같은 정부 규제기관과의 협력 하에 암호화폐 거래소에 대한 자율규제 가이드라인을 제정함으로써 정부규제에 선제적으로 대응하려는 움직임을 보이고 있다.

◇일본 - 2017년 4월 개정된 자금결제법을 통해 암호화폐를 법정화폐는 아니지만 매매나 교환이 가능한 결제수단으로 인정했으며, 최근에는 금융상품으로 취급할 가능성도 열어 놓았다. 이에 따라 일본 국세청은 암호화폐 거래시 발생 차익이 20만엔이 넘는 경우 15-55%의 소득세를 적용하고 있지만 소비세는 면제하고 있다. 일본은 2018년 1월 일본 최대 암호화폐거래소 코인체크해킹 사건을 겪으며, 암호화폐 거래소에 대한 규제로 등록제를 도입하고 자금세탁방지법 준수와 암호화폐 투자자를 보호하기 위한 시스템(거래 수수료 및 기타 계약조건 정보제공, 이용자 자산과 업체 자산을 분리하여 관리) 도입을 요구하고 있다. 최근 일본 금융청(FSA)은 일본 암호화폐 거래소 협회(JVCEA)에 거래소들에 대한 관리·감독 권한을 부여하고, 협회의 자율적인 가이드라인을 통해 거래소의 내부거래 감시, 자금세탁 방지, 거래 표준화 등을 추진하고 감사와 제재 권한까지 부여하기로 결정하였다. 암호화폐공개(ICO) 규제와 관련해서는 이해관계자와 투자자보호를 위한 투자자 신원 확인, 고객확인 및 자금세탁방지 절차 준수, 진행상황 투자자 공유 등과 같은 가이드라인을 제시하고 있다.

◇ 스위스 - 블록체인과 암호화폐에 가장 우호적인 정책을 펼치고 있는 스위스는 추크(Zug)에 크립토밸리(Crypto Valley)를 조성하여 암호화폐 생태계를 구축하고 있으며, 여기에 이더리움 재단을 비롯한 유명 암호화폐 관련 기관이 600개 이상 들어와 있다. 암호화폐공개(ICO)를 법적으로 인정하고 있는 스위스는 금융시장감독위원회(FINMA)가 2018년 2월 내놓은 가이드라인을 통해 암호화폐를 지불형(payment), 기능형(utility), 자산형으로 구분해 유형별로 다른 규제를 적용하여 관리하고 있다. 이중 자산형 암호화폐는 증권으로 분류하여 스위스 증권법에 따라 관련 규제가 적용된다. 그리고 암호화폐 거래에 대해 개인에게 세금을 부과하지 않지만, 암호화폐 발행기업에겐 수입규모와 토큰종류에 따라 세금을 차등부과하고 있다. 2017년 스위스에서 진행된 ICO는 약 5억5천만 달러 규모(약 6천억원)로, 세계 ICO 시장 전체 중 14%를 차지한다.

한국과 이상에서 살펴본 4개국의 암호화폐에 대한 과세, 거래소운영, ICO와 관련된 내용을 요약하면 다음과 같다. 한국과 중국은 암호화폐와 관련된 정부 정책에 있어서 사실 상 큰 차이가 없는데, 전반적으로 금지하거나 억제하는 것을 알 수 있다. 반면, 다른 3개국은 암호화폐를 일정 정도 용인하는 것을 전제로, 적절한 규제라는 틀 안에서 관리하고 있음을 확인할 수 있다.
   

큰사진보기
▲  한국과 주요국의 암호화폐에 대한 과세, 거래소운영, ICO 관련 내용 비교
ⓒ 공공을위한과학기술인포럼(FOSEP)	관련사진보기

  
암호화폐 거래소 규제 이대로 괜찮을까

원칙적으로는 공개 블록체인 본래 의도에 따라 대부분의 거래가 P2P로 진행되고, 암호화폐가 개별 보유자의 지갑에 보관되는 탈중앙화로 암호화폐 거래를 유도하는 것이 바람직하다. 그러나 앞서 언급한 바와 같이 현실적으로 상당 기간 동안 암호화폐의 탈중앙화가 쉽지 않다. 따라서 중장기적으로 거래소를 통한 암호화폐 거래가 불가피하다. 이러한 상황에서 현재와 같은 거래소 규제 시스템으로는 해킹에 따른 피해가 계속 발생할 가능성이 크다.

문제는 거래소가 암호화폐와 법정화폐간 거래가 집중적으로 이루어지는 공간이기 때문에, 거래소 해킹이 법정화폐 시장에도 큰 충격을 줄 수 있다는 것이다. 따라서 이로 인한 피해를 일부 투기꾼들의 손실로 국한해서 보는 것은 올바른 문제 인식이 아니다. 또한 거래소 해킹 문제를 이유로 암호화폐는 투기수단이므로 이를 억제해야 한다는 논리적 비약도 경계할 필요가 있다.

정부는 2017년 암호통화 관계기관 합동 TF를 설립, 거래 투명성을 확보하고 소비자를 보호하기 위해 법제도 등을 정비하겠다고 밝혔다. 그러나 같은 해 12월 TF 주무부처를 금융위에서 법무부로 이관한 뒤 단 한 차례도 규제안 등을 발표하지 않았다. 거래소 해킹이 꾸준히 발생하고 그때마다 큰 규모의 피해가 발생하고 있기 때문에 법정화폐 시장을 보호한다는 관점에서 정부의 고민이 필요한 상황이다.

새롭게 등장하여 빠르게 발전하고 있는 암호화폐 관련 산업의 특성상, 정부가 시의 적절하게 시장에 대응하여 법적, 제도적 장치를 처음부터 완벽하게 만들기에는 한계가 있다. 특히 암호화폐에 대한 법적 지위 문제는 시간을 두고 사회적 합의를 통해 신중하게 접근할 필요도 있다. 이러한 측면에서 정부 감독 하에 암호화폐 거래소들을 중심으로 자율규제기관을 운영하는 미국과 일본의 사례는 많은 시사점을 준다. 특히 일본에서는 암호화폐관련 정부규제기관인 일본 금융청(FSA)이 가진 일부 규제 권한을, 자율규제기관인 일본 암호화폐 거래소 협회(JVCEA)에 위임할 정도로 자율규제를 통한 암호화폐 산업 육성에 적극적으로 나서고 있다.

암호화폐 거래소 해킹이 암호화폐 무용론의 이유가 될 수는 없다. 따라서 단기적으로는 우리나라도 해외 사례를 참고하여 산업계를 중심으로 자율적이지만 높은 수준의 보안 규정을 마련하여 거래소 해킹에 따른 피해를 줄이는 동시에, 관련 산업을 육성하는 방식을 고려할 만하다. 중장기적으로는 암호화폐 법적 지위 여부에 대한 사회적 논의를 이끄는 것과 함께 암호화폐 거래소 보안체계 관련 법제도를 강화하는 것이 필요하다. 더불어 탈중앙화된 암호화폐 사용을 활성화함으로써 자연스럽게 거래소 집중을 완화시키는 정책도 고민할 필요가 있다.