정보통신망법과 정보보호산업법이 엇박자 내고 있어
지닥(GDAC)의 해킹 사고는 특금법 시행 이후 발생한 첫 사례로 기존 규제 방식을 보완할 필요가 있다는 지적이 나오고 있다.
단순히 신고 수리를 위한 ISMS 인증번호 획득에 따른 실명 계좌 발급으로 이어지는 과정에서 ISMS 심사를 강화, 자금세탁 방지의 책무만큼 일반적인 웹사이트를 운영하는 사업자와 다른 노선으로 의무화 조항을 신설해야 한다는 의견이 설득력을 얻고 있다.
17일 과학기술정보통신부, 한국인터넷진흥원 등에 따르면 정보보호 공시 의무업체 598 곳(2022년 기준)중에서 국내 거래소 업계는 두나무가 유일하며, 나머지 35곳(금융정보분석원에 신고 수리된 사업자)는 해당하지 않는다.
정보보호 공시는 인터넷서비스제공자, 인터넷데이터센터, 상급종합병원, 인터넷기반자원공유컴퓨팅 서비스 제공자, 정보보호최고책임자 지정 의무기업 중 매출액 3천억원 이상 및 일일 평균 이용자수 100만명 이상 사업자가 의무공시 대상이며, 나머지는 자율공시로 진행된다.
의무공시 업체가 공시를 하지 않는다면 최대 1천만원 이하의 과태료 부과, 자율공시 업체가 참여하면 ISMS 인증 심사시 30% 할인 혜택이 주어진다.
국내 거래소 업계에서 의무공시 업체는 두나무이며, ▲빗썸 ▲고팍스 ▲후오비코리아 ▲코어닥스 등 4곳은 자율공시로 정보보호 투자, 인력, 인증, 활동 현황을 공개했다. 특히 자율공시 대상임에도 고팍스는 2018년부터 공시 현황을 공개한다.
빗썸의 경우 2021년만 공시하고, 2022년은 생략했다. 이에 대해 빗썸 관계자는 "해당 공시는 의무사항이 아니며, 특별한 이유가 있어서는 아니다. 다만, 당사는 정보보호를 위해 ISMS-P 인증 신규 획득 및 ISO 27001, 27701 등 4개의 정보보호 인증을 획득/갱신하며 보안수준 향상에 노력하고 있다"고 전했다.
거래소 업계는 ISMS 심사비 할인이 ISO 인증 후 ISMS를 획득할 때 할인 비율과 비슷하고, 실질적인 혜택이 없어 자율공시의 매력이 떨어진다고 설명한다.
이에 비해 바스프(가상자산사업자) 전용 ISMS가 금융보안원이 심사하는 금융권 수준의 심사항목과 신규 사업자의 진입 장벽 해소를 만든 예비 인증도 6개월에 국한되는 등 정보보호 공시를 거래소 업계에 적용하려면 무리라는 지적도 나온다.
정보보호 공시는 ▲사업분야(기간통신사업자, 집적정보통신시설, 상급종합병원, 클라우드컴퓨팅 서비스 제공자) ▲매출액 3,000억 이상 ▲하루 이용자 100만 명 이상 등은 의무대상자다. 이를 ISMS 의무인증 대상인 ▲하루 이용자 100만 명 이상 ▲ISP와 IDC ▲상급종합병원, 학교(재학생 1만 명 이상) 등 기준과 비교하면 일부 구간에서 중복된다.
거래소가 실명계좌 발급을 위한 ISMS 인증을 받아도 매출과 이용자 수가 되지 않는다면 정보보호 공시 의무대상자가 아니다. ISMS는 정보통신망법, 정보보호 공시는 정보보호산업법에 따라 적용되는 탓에 틈이 생겨버린 셈이다.
그래서 공시 의무대상 선정 기준에서 하나만 해당하더라도 바로 의무공시 대상이라는 점에서 두나무가 매출과 사용자 수로 선정된 것이다.
그 결과 특금법에 따라 가상자산사업자 신고 수리를 위해 지닥은 ISMS 일련번호를 획득했지만, 사업분야나 매출, 사용자 수가 의무대상이 아닌 탓에 정보보호 공시 의무대상이 아니었다. 즉 영업을 위한 최소한의 조건만 충족하고 사업을 영위할 뿐 업계 스스로 '법을 지키려고 해도 법이 없다'는 논리를 펼치는 이유다.
'뉴스 센터 > 기획' 카테고리의 다른 글
| DAXA, 에어드랍 가이드라인 왜 빠졌나? (0) | 2023.04.28 |
|---|---|
| 트래블룰 시행 1년 1부, 여전히 등잔 밑은 어둡다 (0) | 2023.04.05 |
| 업비트 인도네시아, 엑세스 프로토콜(ACS) 상장 문제없나? (0) | 2023.03.21 |