윤인택 한국기후변화대응전략연구소장

[이투뉴스 기고/윤인택] 유럽 탄소시장에 전대미문의 해킹사건이 발생했다. 지난달 18~19일 체코 국가 등록소가 해커의 공격으로 온라인 상으로 2500만달러 상당(1.19일 EUAs 14.15유로 기준)의 130만EUAs(유럽 연합 탄소배출권 단위)가 순식간에 사라진 것이다.

체코 사건과 더불어 지난 두 달간 국가 등록소에서 보안 취약성문제가 계속해서 발생해 벌써 3번이나 탄소 거래소가 해커들에 의해 공격당한 것도 추가적으로 밝혀져 큰 파장을 불러일으키고 있다. 유럽위원회는 사건 직후 이번 사태의 심각성에 대해 전하면서 유럽내 30개 국가 등록소의 모든 배출권 거래를 잠정 중지하는 결정을 내렸다.

또  유럽 내 모든 등록소시스템에 대한 보안문제를 조속히 점검하고 강화해야한다는 입장을 밝혔다. 유럽위원회는 해커들의 추가 범행가능성을 우려해 지난달 19일부터 탄소시장 현물거래를 잠정 정지시키고 등록소 보안작업 및 사건 조사를 서두르고 있다.

체코 탄소배출권 도난사건을 시작으로 지금까지 EU 내 국가 등록소에서 총 310만EUAs가 불법적으로 유출된 것으로 조사됐다.

◇ EU국가의 EUAs 도난사건 현황 (2월 14일 기준)

국가별

체코

루마니아

오스트리아

독일

그리스

도난당한 EUA

130만

160만

48.8만

8.8만

30만

합계: 310만EUA(약 4400만유로, 한화 약 660억원)       1월 19일 EUA 14.15유로 기준

이번 유럽 등록소 해킹사건의 시발점인 체코에서는 지난달 18~19일 탄소 배출권 거래가 비교적 짧은 시간에 이뤄진다는 점과 해커들의 계좌 접근을 차단할 수 있는 고유 번호 요구 등의 외부공격 필터링 매커니즘이 없는  등록소 보안 시스템 허점을 이용해 전문 해커들이 등록소 시스템에 침입한 것으로 알려졌다.

이로 인해 체코 등록소 6개 계좌로부터 130만크레딧(약 1830만유로)이 분실됐다. 분실된 EUA는 폴란드, 이탈리아, 에스토니아, 리히텐슈타인, 독일 등을 거쳐 일부 유럽국가로 재이전돼 현재 행방이 묘연한 상태다. 체코는 후속조치로 현재 등록소 보안시스템 강화에 만전을 기하고 있으며, 시스템 점검이 완료된 후 등록소를 재개할 방침이라고 밝혔다.

체코뿐 아니라 루마니아(160만 배출권), 독일(8만8000 배출권, 4만6000CERs, 4만2000EUAs), 오스트리아(48만9000 배출권)도 추가로 도난당한 사실이 확인됐다.

한편 지난달 19일 유럽연합의 탄소 배출권 거래 중지 결정에도 불구하고 운영을 지속했던 스위스 배출권 등록소는 지난 14일 시스템 취약성 발견에 따른 보안 강화를 이유로 잠정 거래정지 결정을 내렸다. 또 모든 스위스 계좌 보유자들에게 계좌 비밀번호 변경을 요청한 상태다.

유럽의 핵심 탄소거래소인 블루넥스트와 유럽선물거래소(ICE)는 EUA 도난사건 직후 일시 정지시켰던 현물 탄소거래를 지난 4일 재개했다. 거래 재개 이후 탄소시장은 EUA 거래가격이 평균 수준을 회복하고 있으나 거래량은 다소 주춤한 상황이다.

현재 유럽 내 국가 등록소 운영현황은 지난 23일 기준으로 독일, 프랑스, 영국, 네덜란드, 포르투갈, 슬로바키아, 스페인 등록소가 거래를 재개했고, EUA 도난 피해국인 오스트리아, 체코, 그리스, 이탈리아, 루마니아 등록소 등 대부분의 유럽 등록소는 아직까지 패쇄된 상태이다.

이번 유럽 배출권거래소 해킹사건으로 인해 교토의정서 매커니즘 중의 하나인 탄소배출권거래 위상이 뿌리째 흔들리고 있다. 현재 유럽과 뉴질랜드를 제외한 나머지 국가에서 배출권 거래제 도입을 일시 연기하거나 잠정 철회하는 등 퇴보의 길을 걷고 있는 와중에 이 같은 배출권 거래소 시스템 보안문제까지 불거져 나와 유럽탄소시장 붕괴론이 조심스럽게 흘러나오고 있다.

그러나 배출권 거래제는 시장원리에 기반을 둔 비용 효과적 방식으로 산업계의 온실가스 감축 부담을 완화하고 급성장하는 국제탄소시장에 효율적으로 대응할 수 있는 메커니즘이다. 따라서 이번 유럽 해킹사건에서 발견된 다음의 문제점들을 개선하고 이를 계기로 투명한 거래시스템 확보가 필요하며 이를 통하여 한단계 업그레이드된 탄소배출권 거래소를 운영해야 할 것이다.

첫째, 이번과 같은 등록소 관련 사건이 발생할 경우 이에 대한 관련 조사를 시행하고 일관적이며 책임 있는 결정을 내릴만한 총괄 기구의 필요성이 제기된다. 체코 등록소 해킹 사건이후 유럽위원회의 미숙한 대응 조치는 피해국의 원성을 사기에 충분했다.

EU 관계자는 "유럽위원회가 이번 해킹 사건으로 피해를 입은 국가 등록소에 대한 정보를 공개하거나 세부사항들을 발표할 만한 관련 법적 승인을 받은 단체도 아니기 때문에 유럽위원회에서 해킹 사건에 대한 배후와 관련조사를 시행할 파워를 가지지 못한다"고 밝혔다.

따라서 추락하는 배출권 거래제에 대한 신뢰도 확보와 활성화를 위해 국가별로 관리되었던 탄소 등록소 거래 관련 업무를 국제적으로 총괄하며 책임을 담당할 국제 기구의 탄생이 필요한 시점이다.

둘째, 등록소 시스템 보안 문제 증강이 요망된다. 이번 사건을 통해 알려진 바처럼, 탄소 거래소 보안 시스템은 취약했으며 외부공격 필터링 메커니즘을 전혀 갖추고 있지 않았다. 유럽위원회 관계자는 이번 사건으로 인해 끊임없이 제기 되어왔던 등록소시스템에 대한 우려가 지면위로 떠오르면서 각국이 등록소 시스템 보안 증강에 총력을 기울이고 있다고 밝혔다.

이번 사건을 통해 안일하게 관리되던 배출권 등록소 시스템이 높은 수준의 보안시스템으로 재정비되고 배출권 거래제에 대한 불신을 회복하는 기회로 삼아 재 도약하는 배출권 거래제도가 되길 기대한다.

◇ EU 등록소 운영현황

국가 등록소

등록소 현황 (2011. 2. 23기준)

오스트리아

폐쇄

벨기에

2월 24일 재개예정

불가리아

폐쇄

체코

패쇄

덴마크

2월 24일 재개예정

에스토니아

폐쇄

핀란드

폐쇄

프랑스

2월4일 재개

독일

2월4일 재개

그리스

폐쇄

헝가리

폐쇄

아일랜드

폐쇄

이탈리아

폐쇄

라트비아

폐쇄

리히텐슈타인

폐쇄

리투아니아

폐쇄

룩셈부르크

2월 24일 재개예정

네덜란드

2월 4일 재개

노르웨이

폐쇄

폴란드

폐쇄

포르투갈

2월 11일 재개

루마니아

폐쇄

슬로바키아

2월 4일 재개

슬로베니아

폐쇄

스페인

2월 16일재개

스웨덴

폐쇄

영국

2월 4일 재개

유럽연합

2월 4일 재개 허가

스위스

폐쇄

거래소

블루넥스트

2월 4일 재개

유럽선물거래소 (ICE)

2월 4일 재개

※ 유럽연합은 현재 등록소 보안 조치에 대한 보고서 검토 후 등록소 재개 여부를 승인하고 있음.

<ⓒ이투뉴스 - 글로벌 녹색성장 미디어, 빠르고 알찬 에너지·경제·자원·환경 뉴스>

<ⓒ모바일 이투뉴스 - 실시간·인기·포토뉴스 제공 m.e2news.com>

저작권자 © 이투뉴스 무단전재 및 재배포 금지