이 기사는
2026년 04월 24일 17:34 IB토마토 유료 페이지에 노출된 기사입니다.
[IB토마토 송혜림 기자] 빗썸이 지난해 말까지 정보보보최고책임자(CISO) 자리에 임원이 아닌 일반 직원을 임명했던 것으로 알려졌다. 정보통신망 법에 따르면 빗썸은 CISO 자리에 임원을 임명해야 되는 기업으로 분류된다. 빗썸은 지난해 말 다른 경쟁사와 달리 뒤늦게 CISO 자리에 임원급을 임명하면서 정보보호에 대한 안일한 인식을 그대로 드러냈다는 평가가 나온다. 여기에 ESG 위원회 설립도 무산되는 등 리스크 관리 체계 전반이 미비하다는 지적이 나온다. 빗썸은 최근 보안 관련 사고가 잇따라 발생하면서 소비자들의 불신이 높아진 상태다. 업계에서는 빗썸이 국내 최대 가상거래소로서 전반적인 보안 거버넌스 쇄신을 통해 시장의 신뢰를 회복할 수 있을지 관심이 쏠리고 있다.
빗썸 로고 (사진=IB토마토, 제미나이)
2024년까지 CISO '비임원'...지난해 하반기 임원 선임 '늑장 개편'
보안은 실적 성장을 위한 부서가 아닌 선제적인 리스크 차단을 위한 부서다. 매출에 따라 유동적으로 비용을 통제하고 정책을 꾸리는 게 아닌, 사고를 예견하기 전부터 독립적인 권한과 예산이 보장돼야 한다. 특히 가상자산 거래소는 수 십억대의 가상자산이 오가는 만큼 해킹의 위험성이 늘 도사리고 있어 보안 부서의 더욱 높은 수준의 권위 확보가 중요하다.
KISA 정보보호 공시 종합 포털 캡처 (출처=KISA)
그러나 한국인터넷진흥원(KISA)의 정보보호 현황에서 빗썸이 지난해 11월 공시한 내용을 살펴보면, 빗썸은 지난 2024년까지 정보보호최고책임자(CISO) 자리에 비임원의 '보안 실장'을 지정해 온 사실이 파악됐다. 해당 실장은 개인정보 보호 책임자(CPO) 자리도 겸직해 왔으며 주요 활동은 모두 '0'건이다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의 7조(정보보호 최고책임자의 지정 및 겸직금지 등)에 따르면 정보보호 관리 체계 인증을 받아야 하는 자 중 직전 사업연도 말 자산 총액이 5000억원 이상인 자는 정보통신서비스 제공자에 이사급 임원이 자리해야 한다.
빗썸은 가상자산 거래소로 정보보호 관리 체계 인증(ISMS-P)을 받아야 하는 기업에 해당하며, 기업 공시를 시작한 2021년부터 총자산 1조원을 꾸준히 넘었다. 제 36조의 7조 법 조항은 2021년 신설 되었으므로, 이 시기부터 조건에 해당하면 CISO 자리에 이사급 임원을 앉혀야 한다. 다만 법률을 토대로 살펴보면 보안 실장은 C레벨 임원진과는 거리가 멀다.
빗썸 측은 공시 이듬해인 2025년에 이기택 전무를 CISO에 선임하여 늦게나마 상법상 조항을 준수했다고 설명했다. 다만 링크드인(Linkd in) 등 사이트 취재 결과 이 전무의 CISO 취임 시기는 지난해 9월경으로 다른 거래소들보다도 현저히 늦다. KISA 공시 의무 기업들 중 두나무는 KISA에 공시를 시작한 2022년에부터 해당 직책에 임원을 지정하고 있으며, 스트리미는 2021년까지 비임원을 선임하다가 이듬해 임원으로 직급을 올렸다.
빗썸이 규제 사각지대에 있었던 이유는 과학정보통신부(이하 과기부)의 면책 정책 아래에 있었기 때문으로 보인다. 과기부 사이버 침해 대응과는 <IB토마토>와의 통화에서 "CISO 지위와 겸직 제한 여부에 대해선 매년 조사를 통해 모니터링하고 있다"면서 "다만 법률에 위반하더라도 두 차례 가량 면책 기한을 주고 있으며, 끝까지 반영하지 않으면 제재를 하고 있다. 면책 기한은 상황에 따라 유동적으로 부여하고 있다"라고 말했다.
CISO 자리에 임원급을 앉히는 이유는 보안 인프라 구축이나 전문 인력 채용에 필요한 독립적인 예산을 사전에 확보하기 위해서다. 이사회에서 적극적으로 목소리 낼 수 있는 사내 권위가 중요하기 때문이다. 다만 국내 가상 자산 거래소 중 톱급인 빗썸이 지난해 하반기에야 보안 전문가를 외부에서 영입해 CISO에 지정한 건 아쉽다는 평가가 나온다.
한 보안업계 관계자는 <IB토마토>와의 통화에서 "CISO·CPO 위상에 따라 기업의 보안 수준이 달라진다. CISO와 CPO도 분리해 보안 조직의 독립성을 확보하여 보안 위험 대응에 효과적으로 나서게 하는 게 중요하다"라고 말했다.
내부 감시자 'ESG위원회' 설립도 무산
아울러 ESG(환경·사회·지배구조) 위원회도 사실상 설립이 무산된 상황이다. 가상자산 거래소 ESG 위원회는 내부통제 강화를 위한 감시자 역할을 수행한다. 자금세탁(AML) 방지 시스템을 감독하고 외부 전문가를 참여시켜 자산 거래 공정성을 높인다. ESG경영을 단순 부서보단 위원회 형태로 조직하는 이유는 전사적인 컨트롤 타워로서 독립적이고 강력한 의사결정권을 부여하기 위함이다.
앞서 빗썸은 2022년부터 ESG 경영 강화를 위해 ESG 위원회를 발족하겠다는 내용을 사업보고서에 담았다. 지난해 연간 사업보고서에도 'ESG 경영위원회를 발족하여 사회적 공헌 활동에 노력을 기울이고 있다'라는 내용이 그대로 기재돼 있다.
그러나 이후 내부 조직과 공시 체계를 정비하는 과정에서 별도 위원회는 운영하지 않기로 결정했으며, 사회 공헌 전담 조직인 '빗썸나눔'을 중심으로 ESG 관련 과제를 수행하는 방향으로 재정비했다는 게 업체 측 설명이다.
빗썸 관계자는 <IB토마토>와의 통화에서 "사업보고서 내용이 수정되지 않은 듯하다"면서 "ESG 위원회는 현재 운영 중이지 않다"라고 말했다.
빗썸은 현재 개인정보 위원회가 통합돼 운영되는 정보보호 자문위원회를 통해 개인정보 보호 역량을 강화하고 있다는 설명이다. 정보보호 자문위원회는 대표이사 직속 이사회에 구성돼 있으며 보안 정책과 기술 전략, 통합 보안 관리 체계, 사이버 위협 대응 시나리오, 임직원 보안 교육, 규제 대응 전략 등을 다루고 있다.
송혜림 기자 diving@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지