[뉴스토마토 이선율 기자] 국내 3위 암호화폐 거래소 코인원 내부 최고 정보보안 책임자가 최고 기술 책임자직까지 겸직하는 것으로 확인됐다. 최근 해킹사고를 겪고 있는 와중에 보안 우려를 살 수 있는 겸직 상황이 발견되면서 암호화폐 거래소에 대한 규제 법안이 보다 체계적이고, 촘촘해져야 한다는 지적이 나온다.
15일 업계에 따르면 현재 조상민 CISO(최고정보보호책임자)는 CTO(최고기술책임자)를 겸직하고 있다. 조상민 CISO 겸 CTO는 2016년 네이버 랩스에서 프로덕트매니저(PM), 2018년 암호화폐 거래소 에이프릴컴스에서 CTO 업무를 역임해왔고, 지난해 1월부터 코인원으로 이직해 정보보호와 기술 업무를 맡고 있다. CISO 업무의 경우 정선진 CISO가 지난해 3월경 퇴사해 공석상태를 유지하다가 그해 6월께부터 조 CTO가 겸직하는 것으로 알려졌다. 빗썸·업비트·코빗 등 실명계좌를 확보한 국내 4대 거래소의 경우 해당 분야에서 겸직을 하지 않고 있는 상태다.
가상화폐 오프라인 거래소 코인원블록스에서 대형 전광판에 비트코인 등 가상화폐 시세가 보이고 있다. 사진/뉴시스
CISO는 기업에서 정보보호 정책을 수립하고, 기업 내 정보기술부문의 안전성 확보와 이용자 보호를 위한 인력·예산 등 투자를 집행하는 중추적 역할을 수행하는 보안 총 책임자다. CTO는 회사의 기술개발 전체를 담당하는 총괄 책임자로, 기술과 관련한 전반적인 경영지원 활동을 총괄한다. 이에 대해 코인원 측은 "겸직이 문제가 되지 않는 것으로 알고 있다"고 답했다.
실제로 정보제공 업무에서 최고 책임자로서 업무를 총괄할 경우 문제가 될 수도, 그렇지 않을 수도 있다. 정보통신망법 45조 제 3항(정보보호 최고책임자의 지정 등)에는 자산총액이나 매출액 등 일정요건 이상이면 그 업무에 다른 업무를 겸직할 수 없다는 내용이 담겨있다. 자산총액 기준으로 제재 대상은 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업이다.
현재 한국인터넷진흥원(KISA)와 과기정통부 주도하에 위와 같은 제재를 하고 있으나 아직까지 처벌규정은 없는 실정이다. 이에 앞서 지난해 12월 국민의힘 김영식 의원은 기업이 CISO를 임원급으로 지정하지 않거나 정보보호 업무 외 다른 업무를 겸직할 경우 과태료를 부과하는 내용의 정보통신망법 개정안을 발의한 바 있다. 그동안 팀장이나 일반 사원을 CISO로 지정하는 등 형식적으로 CISO를 갖추는 기업들이 많아 보안 사고 등이 터졌을 때 대응이 더 어려워졌다는 지적이 잇따르면서 이 같은 법안이 추진됐다. 해당 법안엔 최고 3000만원 과태료 등 처벌 규정까지 포함돼있으며, 현재 국회 과학기술정보방송통신위원회 정보통신방송법안심사소위원회에 통과된 상태다.
사진/한국인터넷진흥원(KISA) 자료 내용 캡쳐.
코인원의 경우엔 지난해 감사보고서 기준 자산총액이 1801억원 수준이라 법 위반사례에 해당되지는 않는다. 하지만 많게는 수조원대 거래액이 오가는 가상자산 거래소에서 개인정보유출사고 등과 같은 문제가 발생할 때 손실 피해가 막대할 수 있는 만큼 이에 대한 관리감독이나 규제 장치 정비가 필요하다는 주장들에 힘이 실리고 있다.
암호화폐업계 한 관계자는 "CISO와 CTO 업무는 명확하게 다르고, 특히 보안과 정보·기술 부문은 해킹 등 예측불허 사고 우려가 커 서로 분리해 운영해야 한다"면서 "최근에도 거래소에서 해킹 사고가 터졌는데, 투자자가 피해 사실을 증명해야하는 실정이다. 최소한 절차적으로 금융 사고 등이 발생했을 때 책임질 수 있는 법적 제도화 정비가 시급하다"고 말했다.
무엇보다 문제는 국내 암호화폐 거래소의 CISO 겸직 문제를 다룰 때 금융위원회와 과기정통부의 역할이 얽혀 있어 제재가 쉽지 않다는 점이다. 과기정통부 관계자는 “거래소와 관련된 법령은 금감원에서 다른 법령으로 관할을 하는데, CISO 사안은 금감원 관할은 아니다. CISO 자체는 정보통신망법에 해당하지만 거래소는 또 우리가 관할하지 않는다. 대신 우리는 ISMS 의무화를 중심으로 거래소들이 잘 지키고 있는지를 살피고 있다”고 말했다.
김승주 고려대 정보보호대학원 교수는 "암호화폐 거래소에 대한 법적인 지위와 성격에 대해 명확하게 정의되지 않은 상태에서 해당 법안에 저촉되는지 여부를 판단하기 어렵다"면서 "외국의 경우 CISO 겸직 금지 같은 법안이 없지만 대신 피해보상도 기업이 알아서 하도록 강한 네거티브 규제를 적용하고 있다"고 말했다.
김 교수는 이어 "우리나라는 정보보안 등 문제가 터지면 이후 기준선을 정하는 포지티브 규제를 주로 해왔는데, 핀테크업체 등 신사업을 하는 업체들의 경우 사업할 때 걸림돌이 생기면 다시 말을 바꿔 네거티브 규제를 해달라는 등 들쑥날쑥 규제를 요구하기도 했다"면서 "일관성있는 규제가 필요하고, 거래소 스스로도 노력하는 모습을 충분히 보인 이후 제도의 도움을 빌려야한다"고 강조했다.
최근 정부에서도 암호화폐 거래소에서의 해킹 등 피해사고가 갈수록 심해지면서 이달부터 6월까지 범정부 차원에서 특별 단속을 벌이기로 했다. 또한 피해사례에 대한 모니터링을 보다 강화해 규제 법안을 추가적으로 마련한다는 방침이다. CISO 겸직문제를 다루는 정보통신망법 개정안 또한 다시 보완될 수 있을 것으로 보인다. 개정법안을 발의한 김영식 의원실 측은 "과거 CISO 겸직 관련해 법적인 의무 규정은 돼있지 않아, 과기부와 CISO협회랑 협의해 겸직 금지 내용을 담아 법안으로 제출한 것이다. 거래소의 경우 예외사항이 있을 수 있는데, 이 부분은 당시 반영이 안됐다. 향후 과기부와 규제에 대해 논의해나갈 예정"이라고 말했다.
이선율 기자 melody@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지