빗썸은 지난 1월 10일 FIRST에 정회원으로 가입했다고 밝혔다. 이는 전 세계 가상자산 사업자(VASP) 중 첫 사례다.

FIRST는 침해사고 정보 공유와 보안 사고 방지 및 효과적인 대응을 위해 지난 1990년 출범한 민간협의체다. 여기서 침해사고는 서버 해킹, 디도스 공격, 랜섬웨어 등 사이버 공간을 위협하는 공격 행위로 인한 사고를 말한다. FIRST는 111개국 정부기관 및 민간 기업의 침해사고대응팀 763개를 회원으로 보유하고 있다. 마이크로소프트, 구글, 아마존, 애플, 한국인터넷진흥원(KISA), 국가정보원, 금융보안원 등 기관 및 기업이 FIRST 회원으로 활동하고 있다.

빗썸은 FIRST 가입을 계기로 침해사고대응팀(CERT) 업무 강화, 적극적인 정보 공유 활동을 통해 사이버 보안 위협에 공동 대응하고, 글로벌 위협 정보의 다각도 수집, 사전 예방 활동 강화로 각종 침해사고에 선제적으로 대응할 계획이다.

또한 빗썸은 국제표준화기구(ISO)가 제정한 ISO 22301 인증도 획득했다. ISO 22301은 각종 사고나 재난 및 재해로 인해 서비스가 중단될 때 체계적 대응과 신속한 복구를 통해 서비스를 정상화할 수 있는 관리 체계를 갖춘 기업에 부여된다.

빗썸은 인증 심사에서 비즈니스 연속성 관리 체계가 국제 표준에 부합하며 비즈니스 연속성 훈련을 우수하게 수행했다고 평가받았다.

빗썸은 ISO 22301 외에도 정보 보안 경영 체계 ‘ISO 27001’, 개인 정보 보호 관리 체계 ‘ISO 27701’, 클라우드 서비스 정보 보호 관리 체계 ‘ISO 27017’, 클라우드 서비스 개인 정보 보호 관리 체계 ‘ISO 27018’, ISMS-P 인증을 보유하고 있다.

빗썸은 “글로벌 수준 보안 위협 대응 및 침해사고 대응 체계 구축 역량, 위기 상황에서도 안정적인 서비스 제공 역량을 인정받은 것”이라며 “어떠한 상황에서도 안정적인 서비스를 제공하도록 최선을 다할 것”이라고 전했다.

코인원은 지난 1월 22일 ISMS-P 인증을 획득했다고 밝혔다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 수준의 정보 보호 및 개인 정보 보호 관리 체계 인증 제도로, 관리 체계 수립 및 운영, 보호 대책 요구 사항, 개인 정보 처리 단계별 요구 사항 등 3개 영역에서 101가지 적합성 여부를 모두 통과해야 한다.

코인원은 지난 2023년 제22회 정보보호 대상 시상식에서 가상자산 사업자 중 처음으로 대상을 수상한 바 있으며, 2014년 설립 이후 11년간 보안 무사고를 기록하고 있다.

코인원은 “이번 인증 획득으로 침해사고 및 개인 정보 유출 사고 위협 등에 대한 대응 역량을 인정받았다”라며 “개인 정보 보호는 고객 신뢰와 직결된 부분인 만큼 모든 서비스에서 고객 정보를 철저히 보호해 안전한 이용 환경을 제공할 것”이라고 전했다.

업비트는 철저한 모니터링, 신속한 대응, 경찰과의 긴밀한 협력 등을 통해 보안 사고 대응 역량을 강화하고 있다. 이를 통해 최근 7억 원 상당의 고객 가상자산을 지켰다. 업비트는 이용자의 의도하지 않은 출금에 대한 신고를 접수한 후 자금 이동 추적 및 출금 제한 등의 조치를 취하고 수사기관이 탈취범을 검거하는데 협조했다. 덕분에 7억 원 상당의 가상자산을 고객에게 돌려줬다.

지난해에는 군 복무 중인 고객의 가상자산을 노린 탈취 시도를 인공지능(AI) 기반 이상거래탐지시스템(FDS)으로 포착해 피해를 예방했다. 또한 수사기관과 공조해 보이스피싱 피해자 380명에게 약 85억 원을 환급했다.

업비트는 “피해자의 빠른 신고와 업비트의 신속한 대응 시스템, 수사기관의 협조로 고객 자산을 안전하게 돌려줄 수 있었다”라며 “앞으로도 모니터링 시스템을 강화하고 신속한 대응 체계를 유지해 고객 자산을 더욱 안전하게 지키겠다”라고 강조했다.

IT동아 한만혁 기자 (mh@itdonga.com)