기존 ISMS 325개와 비교해 거래소 전용은 381개, 금융권 384개 수준
업비트와 빗썸이 올해 ISMS 인증 갱신 심사를 앞두고, 지난해 11월에 공개된 일명 거래소 전용 ISMS 인증 심사를 받는다. 3년 전 ISMS 인증을 받았던 거래소 5곳이 '가상자산사업자용 ISMS 세부점검 항목'의 대상이 되면서 업계의 관심이 쏠리고 있다.
특금법 시행 후 정식 영업을 위한 '신고수리' 서류 접수 기간에 ISMS 인증 심사까지 동시에 진행, 거래소 전용 ISMS 인증번호가 명시된 인증서를 해야 하기 때문이다.
참고로 특금법 시행 후 실질적인 허가제로 전환, 합법적으로 영업할 수 있는 기간은 3년으로 ISMS 인증 번호 유효기간인 3년과 같다. 즉 거래소는 3년마다 ISMS 인증과 신고수리를 받아야 하는 셈이다.
15일 관련 업계에 따르면 오는 7월 고팍스를 시작으로 ▲8월 업비트 ▲9월 코빗, 빗썸, 코인원 등 총 5개 거래소의 갱신심사가 진행될 예정이다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따르면 ISMS 인증은 최초 심사 1회, 사후심사 2회, 갱신심사 1회를 거쳐 진행된다. 갱신 심사는 인증번호 유효기간 만료 3개월 전에 진행한다.
사후심사는 1년에 한 번 진행하는 점검 차원이지만, 갱신 심사는 최초 심사와 같은 수준으로 진행돼 자칫 잘못되면 인증을 받지 못할 수도 있다. 특히 거래소 전용 ISMS 인증심사는 금융보안원이 금융회사와 전자금융업자를 대상으로 진행하는 항목 384개에 비해 3개가 적은 381개로 이는 기존에 받았던 325개보다 56개가 추가됐다.
KISA가 공개한 거래소 전용 ISMS 인증 항목을 살펴보면 '월렛'이라는 단어가 31번 언급되는데, 그중에서 멀티시그(Multi-Signature)가 갱신 심사의 핵심이 될 수도 있는 이야기가 나온다.
멀티시그는 말 그대로 다중 서명으로 게임의 오브젝트로 비유하면 아이템 상자를 열기 위해 여러 개의 열쇠를 열쇠구멍에 꽂아 동시에 돌려 해제하는 식이다. 과거 빗썸이나 업비트가 개인 키가 내부자에 의해 탈취당한 사례가 있었기에 '멀티시그'의 존재가 부각된 것이다.
만약 거래소 전용 ISMS가 3년 전에 존재했다면 빗썸과 업비트는 인증심사를 통과하지 못했다. 그래서 이번 갱신 심사 기간에 거래소의 멀티시그 적용 실태를 점검, 향후 거래소 보안의 핵심으로 떠오를 것으로 보인다.
말뿐인 멀티시그보다 심사 항목에 존재하고, 향후 거래소 전용 ISMS 인증 심사에 통과한 후 보안사고가 발생하면 거래소뿐만 아니라 이를 심사한 심사원과 인증기관까지 도마 위에 오를 수 있어 이목이 쏠린다.
제일 먼저 시작하는 고팍스는 ISMS 갱신 심사를 위해 별도의 TF를 구성해 만전을 기하고 있다. 3년 전과 달리 특금법이 시행됐고, 이전과 다른 분위기를 체감하고 있는 탓에 갱신심사를 통과한 첫 거래소 타이틀의 중요성을 알고 있기 때문이다.
고팍스 관계자는 "현재 가상자산사업자 신고 준비와 함께 ISMS 인증 갱신 심사 일정을 확인하고 최선을 다해 준비하고 있다"고 말했다.
'블록체인' 카테고리의 다른 글
| 위메이드, 빗썸 인수전 참여...득보다 실이 클 수도 (0) | 2021.04.16 |
|---|---|
| 우리 월광(月光)이 일본 간다...달빛조각사, 日 출시 임박 (0) | 2021.04.14 |
| 레버리지 거래 성행하는 韓 코인판...특금법 구멍 숭숭 (0) | 2021.04.12 |