가상자산거래소에 가입하기 위해 휴대전화 인증을 마치고 신분증을 인증할 차례. 그런데 예상치 못한 일이 벌어졌다. 노트북 화면에 띄워둔 신분증 사본(스마트폰 촬영본)으로 인증이 완료된 것이다. 다른 거래소도 마찬가지였다. 심지어 한 곳은 신분증 사본을 띄워둔 노트북 화면을 다시 대강 찍어 올렸는데도 인증됐다. 휴대전화 인증과 계좌 인증(1원 송금)으로 보완이 된다고 해도, 명백한 허점이 있다는 이야기다. 휴대전화 해킹으로 인증 절차를 무력화할 가능성도 제기됐다.
디센터가 지난 9일부터 일주일 동안 국내 5대 가상자산거래소(업비트·빗썸·코인원·코빗·고팍스) 애플리케이션(앱)에서 고객확인절차(KYC)를 시도한 결과 5곳 모두 신분증 사본만으로 신분증 인증을 통과할 수 있었다. 거래소 이용을 위해 필수로 거쳐야 하는 KYC는 △휴대폰 인증 △신분증 인증 △1원 계좌 송금으로 이뤄진다.
이 중 신분증 인증의 경우 앱에서 곧바로 신분증 원본을 촬영해 업로드하는 것이 원칙이다. 거래소 측에 이 같은 사실을 알리자 “몰랐다”는 반응이 돌아왔다. 신분증 위변조·도용의 가능성을 알아채지 못한 채 방치해 온 셈이다.
KYC는 회원 가입 또는 일정 주기마다 이뤄지는 고객확인 재이행에 필요하다. 가상자산을 이용한 불법 행위를 사전에 차단하기 위해서다. 절차를 모두 통과해야 거래소에 계좌를 연동해 가상자산을 거래할 수 있다. 한 가상자산거래소 관계자는 “신분증 원본을 촬영하지 않으면 다음 인증 단계(1원 계좌송금)로 넘어갈 수가 없다”고 설명했지만 전혀 사실이 아닌 것으로 드러났다.
KYC 인증이 끝난 후 거래소의 재인증 요청도 없었다. 신분증 원본을 촬영하지 않거나 위변조가 의심되면 인증을 취소해야 하지만, 신분증 사본이 통과된 사실조차 인지하지 못한 것이다.
기존 금융권도 비슷한 사례가 있었다. 특히 비대면 가입이 활성화된 인터넷은행은 지난해 타인의 신분증 사본을 활용한 비대면 대출 피해가 기승을 부리자 부랴부랴 대책을 마련한 바 있다. 케이뱅크는 신분증 사본의 일정한 패턴을 인공지능(AI)이 분석, 이상이 있으면 인증을 거부하고 관련 부서가 직접 검증하기로 했다. 토스뱅크는 아예 자체적으로 실시간 AI 신분증 탐지 시스템을 개발했다. 신분증 사본 사용이 감지되면 담당 인력이 직접 검증한 뒤 계좌를 정지하는 식이다. 다른 시중은행 관계자도 “철저한 신분증 인증을 위해 내부 서비스를 마련하고 있다”고 전했다. 해외 가상자산거래소 크립토닷컴은 본인 얼굴을 찍은 ‘셀프 카메라’ 사진도 요구하고 있다.
현재 가상자산 거래소들의 경우 자체 인증 시스템이 없다. 외부 기업의 인증 기술을 사용하는 과정에서 보안 검증에 허술했던 것으로 추정된다. 신분증 위변조 및 도용 가능성이 우려되는 대목이다. 황석진 동국대 국제정보보호대학원 교수는 “비대면 인증은 본인 인증이 핵심”이라며 “신분증 사본은 위변조의 위험이 있어 반드시 원본 사진으로 한정해야 한다”고 말했다. 임종인 고려대 정보보호대학원 교수는 “신분증 촬영본을 보관한 휴대폰이 해킹돼 금융 피해가 발생하는 일도 많다”며 “(KYC의) 허점을 모두 메울 수 없기 때문에 보험이나 공제 등 피해 보상을 위한 제도를 마련해야 한다”고 덧붙였다.