1년에 1회 진행하는 사후 심사 통과를 인증 완료로 둔갑
지난 2일 금융위원회의 '특금법 시행령 개정안'이 입법 예고된 가운데 국내 암호화폐 거래소 업계에서 언론 플레이가 도를 넘었다.
은행으로부터 실명계좌를 발급받기 위한 선결 조건이 ISMS 인증 획득이지만, 일부 거래소는 ISMS 준비 중, 사후 심사 통과 등 정확하지 않은 사실을 정보처럼 포장해 알리는 데 열을 올리고 있다.
5일 업계에 따르면 지난 4일 코빗은 ISMS 인증을 획득했다는 기사가 등장했다. 문제는 인증번호와 인증 범위, 유효기간 등을 밝히지 않았으며, 공식 홈페이지에 노출한 인증 표시도 과거의 일련번호만 노출하고 있다.
이는 코빗이 2018년 12월 11일에 획득한 ISMS를 2년이 지나서야 홍보에 나선 것이다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 따르면 ISMS의 일련번호는 3년간 유효하며, 인증을 처음으로 취득할 때 진행하는 최초심사, 매년 1회 시행하는 사후심사, 유효기간 연장을 위해 3개월 전에 진행하는 갱신심사 등으로 심사의 종류가 구분되어 있다.
결론부터 말하면 코빗은 2018년 12월 11일에 ISMS 인증번호를 획득했을 뿐 2020년 11월 4일에 획득한 적은 없다. 획득했다면 KISA의 인증서 발급현황에 코빗에 부여된 새로운 일련번호가 있어야 하지만, <본지> 확인 결과 인증 범위와 유효기간이 변경된 일련번호는 없었다.
대신 과거에 획득한 'ISMS 18-090'이 전부다. 2년 전에 획득한 ISMS 인증을 시간이 흘러서 홍보하는 것은 코빗의 노림수라는 지적이 나온다.
현행법에 따르면 인증받은 내용(인증범위 및 유효기간의 표시 등)을 거짓으로 표시·홍보한 경우 1천만 원 이하의 과태료 부과(법 제76조 제 3항 제 7호) 대상이다. 또 인증을 취득한 자는 인증의 사실을 과장되거나 불명확한 표현을 사용해 광고할 수 없다.
코빗이 새로운 일련번호를 받았다면 홈페이지에 정확하게 표시해야 하며, 현재 번호를 유지하고 있다면 인증 표시 위반이다. 또 과거의 부여받은 일련번호로 홍보했다면 정확한 정보를 표시해야 한다.
이를 두고 업계는 업비트의 사후 심사 통과처럼 현행법을 제대로 파악하지 못한 해프닝으로 보고 있다. 업비트도 사후 심사를 통과했다는 보도자료를 배포하면서 '인증 갱신 완료'라는 표현을 사용했기 때문이다.
이는 잘못된 사실이며, 인증 갱신 완료는 유효 기간 만료 3개월 전에 진행하는 갱신심사를 통과했을 때만 ISMS 인증 번호가 유지된다.
KISA 관계자는 "코빗의 ISMS 인증 획득과 관련해 확인해보겠다. 사실과 다르다면 조치를 취하겠다"고 말했다.
'블록체인' 카테고리의 다른 글
| [특금법 시행령 ④] 안 빼면 죽는다...오더 북 다이어트 (0) | 2020.11.09 |
|---|---|
| 'ICO 금지, 근데 상장은?' 그들이 해외로 가는 이유 (0) | 2020.11.04 |
| [특금법 시행령 ③] 거래소 ISMS, 금융기업 수준 요구 (0) | 2020.11.02 |