검수요청.png검수요청.png

정보보호관리체계

위키원
이동: 둘러보기, 검색

정보보호관리체계(ISMS; information security management system)는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 보호 절차와 과정이다. 흔히 영어 약자로 ISMS(아이에스엠에스)라고 한다. 정보보호관리체계 인증제도(간략히 'ISMS 인증제도')는 정보보호관리체계가 인증 기준에 적합한지를 심사하여 인증을 부여하는 제도를 말한다.

개요[편집]

정보보호관리체계는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조, 정보보호 관리체계 인증 등에 대한 고시를 법적근거로 하여 종합적인 정보보호를 목적으로 마련된 관리체계이다. 정보보호관리체계 인증제도를 통해 1) 정보보호 위험관리를 통한 비즈니스 안정성 제고, 2) 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보, 3) 침해사고, 집단소송 등에 따른 사회·경제적 피해 최소화, 4) 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상, 5) IT관련 정부과제 입찰시 인센티브 일부 부여 등의 효과를 기대할 수 있다.

현황[편집]

2020년 3월 5일, 암호화폐 사업자에 대한 준허가제 도입과 금융권 수준의 자금세탁 방지 의무 부과를 골자로 하는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안', 즉 '특금법'이 국회 법제사법위원회를 통과했다. 따라서 국내 암호화폐 업계의 숙원인 '암호화폐 산업 법제화'가 이뤄질 전망이다.[1] 법 공포 1년 후인 2021년 3월부터 시행되며, 기존 사업자들은 개정안 시행일로부터 6개월 안에 신고해야 한다.

특금법은 기존 금융기관에만 부여하던 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 암호화폐 거래소 등 암호화폐를 취급하는 가상자산사업자(VASP)들도 따르도록 한 것이 핵심이다. VASP는 실명확인 입출금계정 서비스(암호화폐 거래 실명제)와 정보보호관리체계 인증 등 일정 요건을 갖추고 금융위원회 금융정보분석원(FIU)에 영업 신고를 해야 한다는 내용이 포함됐다. 준허가제로, 이를 어길 경우 5년 이하의 징역 또는 5천만원 이하 벌금이 처해진다.

특히 개정안에 따르면 가상자산 사업자 신고시 정보보호관리체계(ISMS) 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다. 즉, 특금법 시행 이전부터 영업해온 가상자산 사업자라고 할지라도 법 시행 이후 6개월 이내인 2021년 9월까지 실명계좌 발급과 정보보호관리체계 인증 등 모든 요건을 갖춰 영업신고를 해야 한다는 뜻이다.[2]

이와 관련 금융회사가 가상자산 사업자에 대해 실명확인 입출금계정을 개시하는 조건 및 절차는 시행령에서 마련돼야 한다.[3] 현재 국내 암호화페거래소 중 시중 은행과 입출금 계정 서비스 계약을 맺은 곳은 업비트, 빗썸, 코인원, 코빗 4개다. 정보보호관리체계 인증은 이들 4개 거래소 외에 고팍스, 한빗코 등에 불과하다. (2020년 3월 5일 기준)[4]

한계[편집]

정부가 특금법을 통해 정보보호관리체계를 암호화폐 사업자의 필수 요건으로 설정했지만, 그동안 정보보호관리체계 인증을 획득한 암호화폐 거래소들이 속수무책으로 해킹을 당했다는 것은 부정할 수 없는 사실이다. 정보보호관리체계 인증이 필수로 도입된 것은 2018년 1월이었다. 과학기술정보통신부와 한국인터넷진흥원은 매출액 100억 원 이상, 일 평균 방문자 100만 명 이상의 암호화폐 거래소에 대한 정보보호관리체계 인증을 의무화했다.[5] 이때 국내 굴지의 암호화폐 거래소인 업비트와 빗썸 등 4개의 암호화폐 거래소가 인증을 받았지만, 이후 해당 암호화폐 거래소의 해킹 사고 소식은 끊이지 않고 들려왔다.[6]

블록체인 및 암호화폐 시스템에 보다 투명한 기준 마련이 필요해 보이는 이 시점에서, 정보보호관리체계를 그 기준으로 삼는다는 것은 단지 마땅한 보안 인증 제도가 없기 때문이라는 말도 등장하고 있다. 이에 대해 전문가는 "정보보호관리체계 인증이 중앙화된 시스템에 최적화되어 있어 탈중앙화 방식인 블록체인 시스템에서는 대앙 기준을 적용할 수 없다"며 "암호화폐 거래소의 체계와 운영구조를 살펴볼 때 정보보호관리체계의 기준을 적용하기는 쉽지 않다"고 말했다.[7]

정보보호관리체계가 보안의 측면에서만 한계가 있는 것은 아니다. 정보보호관리체계 인증을 획득하기 위해서는 사업자의 입장에서 매우 까다로운 과정을 통과해야 하며, 이 과정에서 만만치 않은 비용이 들어간다. 한편으로는 그 비용을 감당할 수 없어 사기업체를 걸러낼 수 있어 다행이라는 주장도 있지만, 정보보호관리체계가 블록체인 시스템에서 암호화폐의 보안을 얼마나 지켜낼 수 있을지는 의문이다.

각주[편집]

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 정보보호관리체계 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.