최종편집 : 2020-05-28 12:17 (목)
[Pick] 특금법 ISMS 인증 의무화... 실효성은 '글쎄'
[Pick] 특금법 ISMS 인증 의무화... 실효성은 '글쎄'
  • 최진승
  • 승인 2020.03.19 17:02
  • 댓글 0
이 기사를 공유합니다

ISMS, 가상자산 사업자에 적합한 인증인지 의문
ISMS 인증은 임시방편일 뿐... 새로운 보안 기준 필요성 제기

[비아이뉴스]최진승 기자= 최근 정보보호 관리체계(ISMS) 인증에 대한 업계의 관심이 높아진 가운데 가상자산 사업자의 특수성이 반영된 새로운 기준이 마련돼야 한다는 주장이 제기되고 있다. 기존 정보통신 분야에 초점을 둔 ISMS 인증 기준이 가상자산 사업자에 적합치 않다는 지적도 나온다.

이달 초 특금법 개정안이 국회 본회의를 통과하면서 구체적인 시행령 마련에 돌입한 상태다. 17일 특금법 개정법률 공포안도 국무회의에서 의결됐다. 금융위 산하 금융정보분석원(FIU)은 "신속히 시행령 등 하위 법규를 마련하는 한편 관계 부처 및 이해 관계자들과 협의를 통해 개정 법률의 원활한 이행에 힘쓰겠다"고 밝혔다.

특금법 개정법률은 FIU의 신고 수리 요건으로 정보보호 관리체계(ISMS)를 담고 있다. 개정법률은 ISMS 인증을 획득하지 못한 사업자의 경우 허가하지 않을 수 있다고 명시하고 있다.

출처=한국인터넷진흥원(Kisa)
출처=한국인터넷진흥원(Kisa)

ISMS(Information Security Management System) 인증은 별도의 인증 기관(한국인터넷진흥원, 금융보안원)을 통해 기업정보, 산업기밀, 개인정보 등이 체계적으로 관리되고 있음을 인정해주는 제도다.

하지만 ISMS 인증이 거래소를 비롯한 암호화폐 지갑, 블록체인 플랫폼에 적합한 기준인지 의문이 제기되고 있다. DID 얼라이언스 한호현 부회장은 "현재의 ISMS 인증은 중앙화된 시스템에 초점을 두고 있다"면서 "소수의 관리자에 의한 통제를 특징으로 하는 ISMS를 가상자산 사업자에 적용할 경우 사고 위험이 커질 수 있다"고 지적했다.

한 부회장은 ISMS 인증이 가상자산 사업자의 특성을 고려하지 않은 처사라고 지적했다. 가상자산 관리의 핵심은 고객의 키값을 가능한 분산 관리하는 데 있지만 ISMS식 관리 방침은 반대로 고객키를 모으고 관리자를 최소로 두도록 한다는 것이다. 한 부회장은 "가상자산 사업자에 걸맞는 새로운 기준이 마련돼야 한다"고 강조했다.

◆ ISMS 인증, 가상자산 사업자의 실효성에 의문... '면피용' 우려도 제기

ISMS 인증이 특금법에 포함될 정도로 가상자산 사업자에 꼭 필요한 것인가에 대한 의문도 제기된다. 한국핀테크연합회 홍준영 의장은 "당초 ISMS는 인터넷 포털과 쇼핑몰 등에서 개인정보보호를 위한 인증이지 가상자산을 취급하는 사업자에 적용될 필수 요건은 아니다"라고 말했다.

개인정보 자체보다 개인키 관리가 더 중요한 가상자산 사업자에게 있어서 ISMS 인증이 갖는 의미는 크지 않다. 홍 의장은 "ISMS 인증 기준은 가상자산 사업자의 필수 요건으로 보기에 무리가 있다"면서 "ISMS는 특금법의 핵심인 신원확인(KYC) 및 자금세탁방지(AML)를 위한 기본 방안을 마련하는 과정에서 정보보호를 위한 임시방편일 뿐"이라고 말했다.

실제로 ISMS 인증은 효용성 측면에서 논란을 빚어 왔다. 지난해 ISMS 인증을 받은 빗썸, 업비트 등이 해킹 피해를 당하면서 ISMS 인증의 실효성이 도마 위에 올랐다. 신기술에 대한 ISMS 적용도 논란이 됐다. 클라우드 기술 도입에 따른 ISMS 인증 기준이 새롭게 추가됐지만 외부 서비스 기업에 대한 정보보호 문제를 다루기에 부족하다는 평가가 많았다.

ISMS 인증은 특금법 개정법률에 의해 법적인 의무 사항으로 받아들여진 만큼 향후 다양한 논란이 발생할 것으로 예상된다. 한호현 부회장은 "ISMS 인증을 받은 기업이 정보보호에 대한 법적 책임을 다했다는 식으로 이용자 피해를 외면하는 '면피용'이 될 수 있다"고 지적하기도 했다.

ISMS 기준을 일률적으로 적용할 경우 제도권에 막 진입한 가상자산 사업자에게 부담으로 작용할 수 있다. 정부는 올해부터 개인신용정보 보호를 위해 금융회사를 대상으로 ISMS-P 통합 인증을 적용했지만 여전히 가상자산 사업자의 보안 기준으로 다루기에 부족하다는 평가다. ISMS-P는 개인(신용)정보 처리 현황을 식별하고 개인정보의 흐름을 파악해 문서화하도록 하고 있다.

지난해 7월 과기정통부는 ISMS를 전반적으로 개선하기 위한 방안과 법령 개정 방향 등을 연말까지 확정할 계획이라고 밝혔지만 아직까지 구체적인 안을 내놓지 못하고 있다. 한호현 부회장은 "과기정통부의 이 같은 입장은 현행 인증 기준이 가상자산 사업자에 적합치 않음을 반증하는 것”이라고 말했다.

 

4차산업 전문언론 '비아이뉴스' choijin@beinews.net
최진승 [최근기사]
퓨처플레이, 자율주행 영상 기술 스타트업 ‘멀티플아이’에 투자
[Pick] 코로나19 진단키트도 블록체인 접목 'DID 확대'
중소기업 제품 홍보 위해 팔 걷었다... 중기부, 첫 라이브 방송

관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.