정보보호관리체계
정보보호관리체계(ISMS; information security management system)는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 보호 절차와 과정이다. 정보보호관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도를 정보보호관리체계 인증제도라고 한다.
개요
정보보호관리체계는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조, 정보보호 관리체계 인증 등에 대한 고시를 법적근거로 하여 종합적인 정보보호를 목적으로 마련된 관리체계이다. 정보보호관리체계 인증제도를 통해 1) 정보보호 위험관리를 통한 비즈니스 안정성 제고, 2) 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보, 3) 침해사고, 집단소송 등에 따른 사회·경제적 피해 최소화, 4) 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상, 5) IT관련 정부과제 입찰시 인센티브 일부 부여 등의 효과를 기대할 수 있다.
현황
2020년 3월 5일, 암호화폐 사업자에 대한 준허가제 도입과 금융권 수준의 자금세탁 방지 의무 부과를 골자로 하는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안', 즉 '특금법'이 국회 법제사법위원회를 통과했다. 따라서 국내 암호화폐 업계의 숙원인 '암호화폐 산업 법제화'가 이뤄질 전망이다.[1] 법 공포 1년 후인 2021년 3월부터 시행되며, 기존 사업자들은 개정안 시행일로부터 6개월 안에 신고해야 한다.
특금법은 기존 금융기관에만 부여하던 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 암호화폐 거래소 등 암호화폐를 취급하는 가상자산사업자(VASP)들도 따르도록 한 것이 핵심이다. VASP는 실명확인 입출금계정 서비스(암호화폐 거래 실명제)와 정보보호관리체계 인증 등 일정 요건을 갖추고 금융위원회 금융정보분석원(FIU)에 영업 신고를 해야 한다는 내용이 포함됐다. 준허가제로, 이를 어길 경우 5년 이하의 징역 또는 5천만원 이하 벌금이 처해진다.
특히 개정안에 따르면 가상자산 사업자 신고시 정보보호관리체계(ISMS) 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다. 즉, 특금법 시행 이전부터 영업해온 가상자산 사업자라고 할지라도 법 시행 이후 6개월 이내인 2021년 9월까지 실명계좌 발급과 정보보호관리체계 인증 등 모든 요건을 갖춰 영업신고를 해야 한다는 뜻이다.[2]
이와 관련 금융회사가 가상자산 사업자에 대해 실명확인 입출금계정을 개시하는 조건 및 절차는 시행령에서 마련돼야 한다.[3] 현재 국내 암호화페거래소 중 시중 은행과 입출금 계정 서비스 계약을 맺은 곳은 업비트, 빗썸, 코인원, 코빗 4개다. 정보보호관리체계 인증은 이들 4개 거래소 외에 고팍스, 한빗코 등에 불과하다. (2020년 3월 5일 기준)[4]
한계
정부가 특금법을 통해 정보보호관리체계를 암호화폐 사업자의 필수 요건으로 설정했지만, 그동안 정보보호관리체계 인증을 획득한 암호화폐 거래소들이 속수무책으로 해킹을 당했다는 것은 부정할 수 없는 사실이다. 정보보호관리체계 인증이 필수로 도입된 것은 2018년 1월이었다. 과학기술정보통신부와 한국인터넷진흥원은 매출액 100억 원 이상, 일 평균 방문자 100만 명 이상의 암호화폐 거래소에 대한 정보보호관리체계 인증을 의무화했다.[5] 이때 국내 굴지의 암호화폐 거래소인 업비트와 빗썸 등 4개의 암호화폐 거래소가 인증을 받았지만, 이후 해당 암호화폐 거래소의 해킹 사고 소식은 끊이지 않고 들려왔다.[6]
블록체인 및 암호화폐 시스템에 보다 투명한 기준 마련이 필요해 보이는 이 시점에서, 정보보호관리체계를 그 기준으로 삼는다는 것은 단지 마땅한 보안 인증 제도가 없기 때문이라는 말도 등장하고 있다. 이에 대해 전문가는 "정보보호관리체계 인증이 중앙화된 시스템에 최적화되어 있어 탈중앙화 방식인 블록체인 시스템에서는 대앙 기준을 적용할 수 없다"며 "암호화폐 거래소의 체계와 운영구조를 살펴볼 때 정보보호관리체계의 기준을 적용하기는 쉽지 않다"고 말했다.[7]
정보보호관리체계가 보안의 측면에서만 한계가 있는 것은 아니다. 정보보호관리체계 인증을 획득하기 위해서는 사업자의 입장에서 매우 까다로운 과정을 통과해야 하며, 이 과정에서 만만치 않은 비용이 들어간다. 한편으로는 그 비용을 감당할 수 없어 사기업체를 걸러낼 수 있어 다행이라는 주장도 있지만, 정보보호관리체계가 블록체인 시스템에서 암호화폐의 보안을 얼마나 지켜낼 수 있을지는 의문이다.
각주
- ↑ 임유경 기자, 〈특금법, 법사위 통과...암호화폐 산업 법제화 첫발 뗐다 - 5일 국회 본회의 통과되면 법 공포 후 1년 뒤 실행〉, 《지디넷코리아》, 2020-03-05
- ↑ 김미희 기자, 〈특금법 개정안 국회 통과...암호화폐 산업 제도권 진입(종합)〉, 《파이낸셜뉴스》, 2020-03-05
- ↑ 문정은 기자, 〈'이제 암호화폐 아니고 가상자산입니다'... 특금법 개정안 국회 통과 - 제도권으로 들어온 '가상자산' 시장〉, 《테크엠》, 2020-03-05
- ↑ 황치규 기자, 〈특금법 법사위 통과…암호화폐 산업 제도권 편입 ‘임박’〉, 《블로터》, 2020-03-05
- ↑ 이상훈 기자, 〈최근 3년간 국내 암호화폐 거래소 해킹피해 8건, 피해액 1200억원〉, 《스포츠서울》, 2019-09-30
- ↑ 송화연·이수호 기자, 〈"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론〉, 《뉴스원》, 2019-12-04
- ↑ 이수호 기자, 〈가상자산 사업자의 자격증이 될 'ISMS'…정말 믿어도 돼?〉, 《테크엠》, 2020-03-05
참고자료
- 김경윤 기자, 〈가상화폐 거래소 업비트, 정보보호 ISMS 인증 획득〉, 《연합뉴스》, 2018-11-26
- 임유경 기자, 〈코빗, 정보보호 ISMS 인증 획득〉, 《지디넷코리아》, 2018-12-17
- 유진상 기자, 〈빗썸, ISMS 인증 획득〉, 《아이티조선》, 2018-12-31
- 이지영 기자, 〈코인원, 정보보호관리체계 ISMS 인증 획득〉, 《블로터》, 2019-01-02
- 황정빈 기자, 〈암호화폐 거래소 한빗코, 정보보호 ISMS 인증 획득 - "향후 실명계좌 발급 허가도 고려"〉, 《지디넷코리아》, 2019-06-03
- 이상훈 기자, 〈최근 3년간 국내 암호화폐 거래소 해킹피해 8건, 피해액 1200억원〉, 《스포츠서울》, 2019-09-30
- 송화연·이수호 기자, 〈"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론〉, 《뉴스원》, 2019-12-04
- 임유경 기자, 〈특금법, 법사위 통과...암호화폐 산업 법제화 첫발 뗐다 - 5일 국회 본회의 통과되면 법 공포 후 1년 뒤 실행〉, 《지디넷코리아》, 2020-03-05
- 김미희 기자, 〈특금법 개정안 국회 통과...암호화폐 산업 제도권 진입(종합)〉, 《파이낸셜뉴스》, 2020-03-05
- 문정은 기자, 〈'이제 암호화폐 아니고 가상자산입니다'... 특금법 개정안 국회 통과 - 제도권으로 들어온 '가상자산' 시장〉, 《테크엠》, 2020-03-05
- 황치규 기자, 〈특금법 법사위 통과…암호화폐 산업 제도권 편입 ‘임박’〉, 《블로터》, 2020-03-05
- 이수호 기자, 〈가상자산 사업자의 자격증이 될 'ISMS'…정말 믿어도 돼?〉, 《테크엠》, 2020-03-05
같이 보기