[내외경제TV] 정동진 기자=피어테크가 운영하는 암호화폐 거래소 지닥(GDAC)이 궁지에 몰렸다.
지난 주말에 발생한 거래소 탈취 시도 시각이 위믹스와 쟁글의 라이브워치로 '4월 8일 오후 10시 16분 26초'로 밝혀짐에 따라 피어테크가 해킹사고를 알게 된 시점(4월 9일 오전 7시)과 한국인터넷진흥원(KISA)에 접수된 시간에 차이가 존재, 사실상 골든타임을 놓쳐 파장이 예상된다.
11일 KISA에 따르면 피어테크는 KISA가 운영하는 '인터넷 보호나라'에 해킹 신고를 4월 10일 오전 10시 49분에 접수했다. 회사 측이 밝힌 4월 9일 오전 7시를 기준으로 약 28시간이 지난 시점에 신고, 늦장 대응을 KISA가 재확인했다.
이는 피어테크가 특금법에 따라 ISMS 인증번호(ISMS-KISA-2020-210)를 부여받은 바스프로 ISMS는 KISA의 상급기관 과기부와 정보통신망법의 영역이다.
그래서 정보통신망법에 따라 해킹 사고 발생시 즉시 신고해야 한다. 단 KISA보다 수사기관에 먼저 신고했다면 이를 대신할 수 있다. 신고하지 않았다면 1천만원 이하의 과태료 대상이지만, 신고를 했어도 때를 놓쳤다면 비난을 피하기 어렵다.
제48조의3(침해사고의 신고 등) ① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다.
일반적인 웹사이트를 운영하는 사업자가 회원의 ID나 비밀번호가 유출되면 개인정보보호법에 따라 24시간 이내에 신고해야 한다. 즉 개인정보보호법은 24시간이 주어지는 것과 비교해 정보통신망법은 즉시 신고하는 게 법에 명시돼 이를 지켜야 한다.
쟁글과 위믹스(WEMIX) 재단에 따르면 '0x885961348e8cd147d7eea03378bd30b0f5247025ca32ccfdcbefe198a0fc186a'라는 거래번호(TxHash)를 통해 '0xF14a18eBdD6755e2831049c54dEcc868d600bA86'에서 '0x57192CCA8b8e4bEb77F3466C6D0550e64Cc53B0F'로 위믹스 500만 개가 이동했다.
암호화폐 공시 플랫폼과 재단의 익스플로어에 포착된 시간과 거래소로 사고로 인지한 시간, KISA에 접수된 시간 등이 다른 탓에 피어테크가 초기 대응에 실패했다는 게 업계 관계자들의 전언이다.
일요일은 접수를 제대로 할 수 없었다는 피어테크 관계자의 설명에 KISA는 "보호나라는 365일 24시 운영되므로 신고는 언제든지 가능하다"고 반박했다.
