금융기관이 ISMS 인증 획득에 필요한 항목 384개|거래소는 381개로 종전보다 56개 많아
앞으로 국내 암호화폐 거래소의 ISMS 인증 획득이 이전보다 어려워질 것으로 예상된다.
최근 사후 심사를 통과한 업비트가 게임포털이나 병원, 학교, 기관 등처럼 ▲관리체계 수립 및 운영(16) ▲보호대책 요구사항(64) ▲개인정보 처리단계별 요구사항(22) 등 3개 부문 102개와 세부 항목이 325개에 그쳤다면, 오늘(2일)부터 거래소에 적용된 ISMS 인증기준은 56개가 추가돼 총 381개 항목이 심사 대상이다.
이는 금융보안원이 금융회사와 전자금융업자를 대상으로 심사하는 ISMS 인증 항목 384개보다 3개 적을 뿐 사실상 KISA가 거래소를 금융기관처럼 심사하겠다는 의지로 풀이된다.
2일 업계에 따르면 KISA는 암호화폐 거래소를 위한 세부항목 56개를 공개했다. 이는 기존 ISMS 인증 획득을 위한 325개의 점검 항목에 56개가 추가, 시행령 개정안에 거래소의 사업범위가 규정되면서 381개의 항목으로 심사를 대비해야 한다.
현행법에 따르면 금융보안원(FSI, Financial Security Institute)은 전자금융거래법과 신용정보법의 적용 대상이 되는 금융회사 및 전자금융업자를 대상으로 ISMS 인증 심사를 진행 중이다. 2016년 금융권에 적합한 324개를 개발해 2017년에 적용한 이후 384개의 세부항목을 완성해 내년 전면 적용한다.
이에 비해 KISA는 종전 325개를 유지하고 있었지만, 특금법 시행령 개정안까지 입법 예고되면서 거래소에 적합한 56개를 추가해 381개가 된 셈이다.
예를 들면, 카카오페이와 캐셔레스트는 인증기관이 각각 금융보안원과 KISA가 심사했다. 그 결과 카카오페이는 개인정보를 포함해 P, 금융보안원이 심사해 인증기관은 FSI, 올해 금융기관 중에서 처음으로 통과해 2020-001로 ISMS-P-FSI-2020-001이다. KISA의 심사를 통과한 캐셔레스트는 올해 135번째 인증번호를 부여받아 ISMS-KISA-2020-135이다.
특히 KISA는 거래소의 56개 항목에 '월렛'이라는 단어만 31번을 언급할 정도로 지갑을 중점적으로 심사할 것으로 보인다. 대표적으로 핫·콜드 월렛의 보유액 비율, 보관, 출입 권한, 접근 인원과 시스템, 관련 DB 등을 점검하는 항목이 대거 포함됐다.
이는 특금법 시행령 개정안에 포함된 거래소의 실명계좌 발급 기준 5개 항목 중 ▲고객 예치금 분리보관 ▲고객 거래내역 분리 관리 등 자산을 보관하는 거래소 월렛의 안전성을 철저하게 심사하겠다는 의미다.
지난해 업비트가 34만2,000개의 이더리움이 유출된 것처럼 국내 암호화폐 거래소는 핫·콜드 월렛의 분리 필요성이 이전부터 제기됐다. 내부자 소행, 외부의 침투 등의 각종 억측이 난무했지만, '월렛은 안전하다'는 막연한 안내 외에는 월렛의 무결성을 제삼자가 제대로 심사한 적이 없다.
앞서 KISA는 업비트 해킹 당시 일반적인 웹사이트의 해킹과 달라 사무실은 방문했지만, 실질적인 조사는 참여하지 않았다. 당시 KISA 관계자는 “업비트는 경찰과 함께 원인을 파악하고 있는 것으로 알고 있다. 이번 사태가 해킹으로 인한 것이라면 KISA가 조사에 개입할 수 있지만, 아직 원인이 파악되지 않았다”고 밝힌 바 있다.
이번 특금법 시행령 개정안과 함께 KISA의 거래소 ISMS 인증 세부 항목까지 추가돼 국내 암호화폐 거래소 업계는 실명 계좌 발급과 함께 이중고를 겪을 전망이다.
'블록체인' 카테고리의 다른 글
| 'ICO 금지, 근데 상장은?' 그들이 해외로 가는 이유 (0) | 2020.11.04 |
|---|---|
| [특금법 시행령 ②] 금융위 "ICO 금지 원칙 유지" (0) | 2020.11.02 |
| [특금법 시행령 ①] 은행이 암호화폐 거래소 목줄 죈다... (0) | 2020.11.02 |