업비트·빗썸등암호화폐거래소7곳만보안수준합격
과기부·인터넷진흥원,정보보호재점검결과… 85개항목모두충족21개취급업소중14곳은개선미완료…신규업소17곳도보안취약
과학기술정보통신부와 한국인터넷진흥원(KISA)은 가상통화 취급업소를 대상으로지난해9월부터 12월까지 실시한정보보호수준을점검 결과, 두나무(업비트), 비티씨코리아(빗썸) 등 주요 업체 7곳이 85개 보안 점검항목을 모두 충족했다고 10일 밝혔다.
이번 점검에서는 지난해 1~3월 21개취급업소로부터 신청을 받은 기본적 보안 요구사항 85개 항목에 대해 점검하고개선을 권고한 사항에 대한 이행 현황을확인하기 위해 한국인터넷진흥원(KISA)보안전문가가 취급업소별로 항목 전체를재점검했다.
보안점검 항목에는 관리적 보안(10),망분리‧계정관리 등 운영환경 보안(21), 시스템‧네트워크‧데이터베이스(DB) 접근통제 등 시스템 보안(33), 백업‧사고대응(10), 가상통화 지갑관리(11) 등이포함됐다.
지난해 1~3월 점검 이후에 새롭게 확인된 17개 취급업소에 대해서도 정보보호수준점검을병행했다.
우선 보안 미비점 개선을 권고 받은21개 취급업소에대한이행확인 결과, 두나무(업비트), 비티씨코리아(빗썸), 스트리미(고팍스), 코빗, 코인원, 플루토스디에스, 후오비 등 7개 취급업소는 85개 보안 점검항목을 모두 충족(1~3월 점검 시에는 평균 39개 항목이 취약)하는 등 보안수준이개선된것으로조사됐다.
나머지 14개 취급업소의 경우 보안 미 비점 개선이 아직 미완료 상태로 확인됐다, 업체별로 수준차이는 있으나 전반적으로 보안이 취약(14개 업체 평균 51개항목 미흡)해 해킹 공격 위험에 상시 노출될 우려가 있다. 다만, 14개 중 7개 취급업소는 서비스 중단 예정 등 내부사정을 이유로 점검을 받지 않았으며, 1~3월점검결과로산출했다.
지난해 1~3월 점검 이후에 새롭게 확 인된 17개 취급업소를 대상으로 기본적보안 요구사항 85개 항목을 점검한 결과,평균 61개 항목이 미흡한 등 보안수준이전반적으로 취약하여 보안투자 및 개선노력이필요한것으로확인됐다.
특히 대부분의 취급업소가 망분리‧접근통제뿐만 아니라 기본적인 PC, 네트워크 보안 등 보안 체계 수립 및 관리도 미흡한등보안수준이낮은것으로확인됐 다. 망분리‧접근통제 미흡(12개 업소), 방화벽등정보보호시스템운영 미흡(13개업소), 백신‧보안패치 미흡(15개 업소),이상징후모니터링 미흡(16개 업소) 부분에서취약점이드러났다.
과기정통부는 해킹으로 인한 이용자피해 방지 측면에서 취급업소에 대한 보안 미비점 개선현황 확인·점검을 지속해나간다는 방침이다. 향후 추가로 취급업소가 확인되면 정보보호 수준 점검을 통해 보안 미비점 개선을 유도해 나간다는계획이다.
또한 취급업소의 정보보호관리체계(ISMS) 인증과관련해 2018년 기준의무대상 4개 사업자(두나무, 비티씨코리아,코빗, 코인원)가 인증을 완료했다. 자율적으로 3개 사업자가 인증을 신청해 1개사업자(스트리미)가 인증을 완료하고, 2개사업자는인증심사중이다.