이 기사는 2023년 04월 12일 07:45 thebell 에 표출된 기사입니다.

가상자산거래소 지닥의 해킹 피해 규모를 키운 건 안일한 보관 방법이었다. 지닥은 보유 중인 가상자산 대부분을 온라인과 연결된 '핫월렛'에 담아 두고 있었다. 이는 가상자산 사업자에게 ISMS 인증을 발급해주는 한국인터넷진흥원(KISA)의 지침과 맞지 않다.

KISA는 가상자산 사업자 인가를 획득하지 못한 기업을 대상으로 예비인증 제도를 운영하고 있다. 인증 심사 개시 조건에는 보유자산의 콜드월렛과 핫월렛 보관 비중을 7:3으로 맞추는 내용이 포함돼 있다. 지닥과 같이 이미 ISMS 인증을 획득한 사업자가 지침을 따르지 않으면서 업계서는 '예비 사업자'들의 ISMS 취득 난이도가 한층 높아질 것이란 전망이 나온다.

◇지닥 콜드월렛 보관 비율 13.6%…'7:3' 지침은?

12일 지닥 재무실사보고서를 확인한 결과 지난달 22일 기준 회사는 보유 중인 총 가상자산 수량의 13.63%만 콜드월렛에 보관했다. 지닥은 109종의 가상자산을 보관 중이다. 개수로는 37억8190만개다. 이중 32억6426만개가 핫월렛에 담겨 있다. 콜드월렛에 담긴 수량은 5억1764만개에 불과하다.

특정금융정보법(특금법)에 따라 가상자산업을 영위하는 '가상자산사업자' 면허를 획득하기 위해서는 ISMS 인증 취득이 선행돼야 한다. ISMS는 거래소 뿐 아니라 지갑, 수탁 사업자들도 신고 제출 시 필수로 충족해야 하는 요건 중 하나다.


ISMS 인증을 담당하는 KISA는 사업자에게 콜드월렛과 핫월렛의 비율을 7:3으로 맞추라고 권고하고 있다. 콜드월렛은 온라인과 분리된 상태로 가상자산을 보관하는 전자지갑이다. 대부분 실물형태를 갖추고 있다. 핫월렛은 온라인에 늘 연결돼 있는 지갑이다.

콜드월렛은 안전하지만 입출금 지원 속도가 느리다. 핫월렛은 빠르게 입출금을 처리할 수 있지만 해킹 위험에 노출돼 있다는 단점이 있다. 이에 KISA는 입출금을 위한 예비물량만 핫월렛에 저장하고 나머지 자산은 안전하게 콜드월렛에 보관하게 권고하고 있다.

가상자산사업자이자 ISMS 인증을 보유 중인 지닥은 이런 KISA의 권고를 따랐어야 한다. KISA는 현재 가상자산사업자 인가 심사의 필수 조건으로 '월렛관리' 항목을 보고 있다. 7:3 비율을 맞추고 관련한 내부 규정을 마련해야만 심사를 받을 수 있다. 그 전부터 KISA는 가상자산 기업의 인증 취득 시 월렛 부분을 가장 중점적으로 따지고 있다고 강조해온 바 있다.


◇높아진 '예비인증' 허들…신규 가상자산사업자에 불똥

이미 ISMS 인증의 문턱은 높아진 상태다. 2021년 9월 특금법 시행 이후 한동안 가상자산 업체의 신규 ISMS 인증 취득은 막혔었다. 가상자산사업자 신고 필수 요건이 ISMS이기 때문이다.

인증 규정상 일정 기간 이상 사업을 운영해온 기업만 ISMS를 받을 수 있었다. 그러나 가상자산사업자의 경우 사업자 인가를 받지 못하채로 관련 사업을 이어가면 불법이다. 서비스 운영을 하지 못해 ISMS 조건을 채우지 못하고, 또 이로 인해 ISMS 인증을 받지 못해 사업자 신고 접수를 하지 못하는 조건 상충 문제가 있었다.

이에 KISA는 지난해 8월부터 서비스 운영 기간이 없는 신규 사업자를 대상으로 '예비인증'을 상시 접수받고 있다. 업계서는 예비인증 제도가 생겼지만 '예비인증 도입 후 신규 사업을 시작한 기업'만을 심사 대상으로 두는 등 불합리한 제도로 여전히 진입장벽이 높다고 토로하고 있다.

지닥의 콜드월렛 비율 문제도 대두되면서 인증심사에 대한 긴장감은 한층 더 강화된 분위기다. 한 가상자산 기업 관계자는 "예비인증 제도 시행 후 이를 통과한 기업은 극소수"라며 "이미 부담이 가중된 상태에서 규칙을 지키지 않은 기존 사업자가 발견된 이상 심사를 더욱 까다롭게 할 수 밖에 없다"고 말했다.