[블록체인어스 전시현 기자]  지난해 3월 5일, 암호화폐 사업자에 대한 준허가제 도입과 금융권 수준의 자금세탁 방지 의무 부과를 골자로 하는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안', 즉 '특금법'이 국회 법제사법위원회를 통과했다. 따라서 국내 암호화폐 업계의 숙원인 '암호화폐 산업 법제화'가 이뤄진다.

가상자산 관련 사업자(VASP)들이 특금법 시행을 앞두고 가상자산 사업자 신고 요건에 대한 대응 준비에 만전을 기하고 있다. 안정적인 가상자산 거래 환경 조성은 물론 건전한 가상자산 시장을 구축하기 위한 필수 요건이기 때문이다.

ISMS 인증 기준

ISMS 인증은 별도의 인증 기관(한국인터넷진흥원, 금융보안원)을 통해 안전성·신뢰성을 확보하기 위해 운영되는 관리·기술·물리적 보호조치, 기업·개인정보, 산업기밀 등 체계적으로 관리되고 있음을 인정해 주는 제도이며 특금법이 시행되면 가상자산 사업자는 ISMS 인증을 받아야 한다.

특금법에서 요구하는 것은 ISMS 라이센스에서 확인하는 '관리체계 수립 및 운영', '보호대책 요구사항'이다.

ISMS 인증 기준은 80개이며, 세부항목은 234개이다. 관리 체계 수립 및 운영면에서 인증기준 16개, 세부항목은 42개이다. 보호대책 요구 사항면에서 인증 기준은 64개이며, 세부항목은 192개이다.

정부는 가상자산 사업자, 중소기업에 특화된 정보보호관리체계(ISMS) 인증 심사체계를 구축해 정보보호 사각지대를 해소한다. 그간 가상자산 사업은 금융 서비스의 특성을 갖고 있지만 사업자의 법적 지위가 미비해 제도적 기반이 없어, 정보통신서비스 분야에 적합한 ISMS 인증 심사항목을 적용해 인증해왔다.

올해 3월 시행되는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 개정으로 가상자산사업자에 법적 지위를 부여하고 ISMS 인증 획득을 의무화하는 제도적 기반이 마련됐다. 이를 계기로 금융위원회(금융보안원)과 협업해 ▲지갑·암호키 ▲전산원장 관리 ▲비인가자 이체탐지 등 56개 가상자산에 특화된 점검항목을 개발하고, 올해 11월부터 공지해 ISMS 인증 심사에 적용할 예정이다. 참고로 가상자산사업자는 심사 시 ISMS 인증 기존 항목 325개에 더해 가상자산 특화 항목 56개까지, 총 381개의 점검 항목이 마련된다.

ISMS 인증 미신고시

특금법은 기존 금융기관에만 부여하던 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 암호화폐 거래소 등 암호화폐를 취급하는 가상자산사업자(VASP)들도 따르도록 한 것이 핵심이다. VASP는 실명확인 입출금계정 서비스(암호화폐 거래 실명제)와 ISMS 인증 등 일정 요건을 갖추고 금융위원회 금융정보분석원(FIU)에 영업 신고를 해야 한다는 내용이 포함됐다. 준허가제로, 이를 어길 경우 5년 이하의 징역 또는 5천만원 이하 벌금이 처해진다.

특히 개정안에 따르면 가상자산 사업자 신고시 ISMS 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다. 즉, 특금법 시행 이전부터 영업해온 가상자산 사업자라고 할지라도 법 시행 이후 6개월 이내인 오는 9월까지 실명계좌 발급과 정보보호관리체계 인증 등 모든 요건을 갖춰 영업신고를 해야 한다.

ISMS 인증 기대효과

1.단순 일회적 정보보호대책에서 벗어나 체계적, 종합적인 정보보호 대책을 구현함으로써 기업·기관의 정보보호관리 수준을 향상 시킬 수 있다.

2.기업·기관은 지속적이고 체계적인 정보보호 관리체계 구축을 통해 해킹, DDoS 등의 침해사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화 할 수 있다.

3.기업·기관 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다.

4. ISMS 인증을 취득한 기업·기관은 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있다.

ISMS 인증심사 절차

ISMS 인증은 상당히 까다롭다. 3단계 과정을 통과해야 한다. ISMS 인증심사는 최초심사, 사후심사, 갱신심사로 구분된다. 최초심사 후 인증획득을 하게 되면 인증 심사팀이 서면심사와 현장심사를 병행하게 된다. 규모에 따라 차이는 나겠지만 최초심사는 1주일, 사후심사는 3~4일정도 진행된다.

또한 인증 유효기간은 3년이지만 매년 인증 유효기간 만료일 전 갱신심사를 통해 인증을 연장해야 한다. 또 매년 사후심사를 받아야 하기 때문에 기존에 ISMS 인증을 받은 거래소라도 사후관리를 통해 이번에 추가되는 56개의 항목을 점검받아야 한다. 유효기간이 종료되면 전 범위에 대한 갱신심사가 실시된다.

ISMS 인증 법적근거

특금법 제5조 2항, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 또는 개인정보 보호법 제32조의2에 따른 ISMS 인증의 획득을 완료해야 정상적인 사업을 수행할 수 있어 관련 업계의 각별한 주의가 요구되고 있다. 특금법 제2조에 따르면 가상자산을 매도, 매수, 교환, 보관 또는 관리하고 있으면 '가상자산사업자'로 분류된다.

ISMS 인증, 핵심은 지갑 관리

가상화폐를 매도, 매수할 수 있는 가상화폐 거래소는 반드시 ISMS 인증을 의무화해야 한다. 또한 가상화폐를 직접 발행하거나 다양한 가상화폐 서비스를 운영하는 가상화폐 관련 기업 그리고 가상화폐를 보관할 수 있도록 지갑 서비스를 제공하는 기업들도 대상이 될 수 있다.

한국인터넷진흥원에서 발표한 가상자산 사업자 ISMS 인증보호대책을 살펴보면 '암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다', '월렛(핫/콜드월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안 대책 및 절차를 수립·이행하고 있는가?' 등 암호키(개인키)의 도난, 분실, 복구 방안에 대한 대책을 마련해야 한다.

사업자들은 한국인터넷진흥원에서 규정하는 '신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차', '개인키의 안전한 보관(핫/콜드월렛)', '개인키 접근 권한자에 의한 유출 및 권한 오남용 방지 대책' '개인키 백업 및 소산', '개인키 관련 책임추적성 확보', '기타(키 분할, 멀티시그, H/W월렛 등)'를 필수로 확보해야 한다.

또한 외부 인터넷 구간의 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하는지, 월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하는지, 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하는지 등의 항목도 반드시 수립·이행해야 한다.

ISMS 인증 보호대책을 살펴보면 관리적인 부분으로 해결할 수 있는 게 상당수 있지만 가장 중요한 암호키(개인키) 관련 보호는 보안 솔루션의 도움을 필요로 한다.

ISMS 인증 추진체계

ISMS 인증 추진체계는 미래창조과학부, 인증기관, 심사기관, 인증위원회, 인증심사원으로 구성된다.

1.미래창조과학부는 법·제도 개선 및 정책 결정 업무를 수행한다

2.한국인터넷진흥원은 정보통신망법 제52조제3항제7호에서 인증 업무를 하도록 명시된 기관이며, 인증기관 고유업무 (인증, 인증심사, 인증위원회 운영) 외 인증제도 운영 지원(심사원양성 및 자격관리, 인증기준 개선 등) 업무를 수행한다.

3.한국정보통신진흥협회와 한국정보통신기술협회는 ‘인증심사’, 금융보안원은 ‘인증’ 및 ‘인증심사’를 업무범위로 하는 인증기관으로 지정된다.

4.인증위원회는 인증심사 결과를 심의·의결하며 5인 이상 10인 이내의 위원으로 구성된다.

5.인증심사원은 인증심사원 양성교육 과정을 수료하고 고시 별표3에 따른 자격 요건을 갖춘 자들로 인증·심사기관의 심사팀장과 함께 인증심사팀의 구성원이 된다.

ISMS 인증 대상자

ISMS 인증은 반드시 모든 기업이 취득해야 하는 의무사항이 아니다. 그러나 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)에 따르면 정보보호 관리가 필요한 기업인 경우 반드시 인증을 받아야 한다,

한국인터넷진흥원 관계자는 "ISMS 인증은 인증 획득이 끝이 아니라, 사후심사, 갱신심사를 통해 인증을 유지해 나가야 활동이다. 끊임없이 변화하는 외부의 위협으로 보호하기 위해 보안 수준을 지속적으로 유지할 수 있도록 노력해야 할 것"이라고 전했다.

현재까지 ISMS 인증 받은 거래소

현재까지 ISMS 인증을 받은 거래소는 빗썸, 업비트, 코빗, 코인원, 고팍스, 플루토스디에스(한빗코), 뉴링크(캐셔레스트), 텐앤텐, 후오비코리아, 업비트, 지닥, 플라이빗, 에이프로빗, 오아시스 등이다.

사후 심사 통과를 앞두고 있는 거래소는 제이비트가 있다. 제이비트는 관계자는 "ISMS 인증 2월에 신청, 문서 심사, 현장 실사까지 진행하면 3월 말경 통과할 것”이라고 전한다. 이어 "코로나19로 인해 심사 순서가 많이 밀렸지만 특금법이 3월25일에 시행되는 만큼 (ISMS 인증을 받는 것에 대해) 차질없이 진행될 예정"이라고 덧붙였다.

업계에 있는 A 대표는 “ISMS 인증을 받았다고 거래소가 안전하고 영업을 할 것이라 애기를 할 수는 없지만 일단 첫 관문을 통과해서 최소한 출발선에는 회사라고 할 수 있다. 1월 비트코인이 4000만원, 이더리움이 150만원이 되면서 많은 사람들이 가상자산 투자에 눈을 돌리고 있다. 현재 정확한 수와 인증된 거래소가 파악이 되지 않는다”라고 말했다.

이어 ‘본인의 코인이나 토큰이 보관하고 있던 거래소가 문을 닫는다면 정상적인 경우 돌려받을 수 있지만 영세한 업체인 경우 돌려받기 힘들 수도 있으니, 본인의 코인(토큰)은 1차 관문인 ISMS 인증을 통과한 거래소를 권장한다”라고 덧붙었다.

jsh@blockchainus.co.kr