과기부, 가상자산사업자의 금융보안원 가입 제동

금융 당국 중복 규제 논란 속 과기부 교통 정리

---

과학기술정보통신부(과기부)가 업비트와 빗썸 등 가상자산사업자(VASP, Virtual Asset Service Provider)의 금융보안원 회원 가입 가능성을 일축했다. 

특히 과기부는 금융보안원을 정보통신망법과 개인정보 보호법에 따라 금융권의 ISMS 인증과 심사를 대행하는 민간 기관으로 지정했을 뿐 특금법과 가상자산이용자 보호법에 따라 규제를 받는 바스프의 회원 가입과 검토 등은 들은 바가 없다고 설명했다.

15일 거래소 업계에 따르면 DAXA 회원사 업비트, 빗썸, 코인원, 코빗, 고팍스 등은 금융보안원의 회원 가입을 검토 중이다. 하지만 금융보안원이 이들을 받아들이려면 일종의 회칙(會則) 변경과 총회를 개최해 의결과 승인을 거쳐야 한다.

문제는 바스프가 금융권이 회원으로 활동하는 금융보안원의 가입 여부다. 현재 금융보안원에 회원으로 가입한 이들은 국민은행이나 한국투자증권, 신한 카드 등 전자금융거래법과 신용정보법의 규제를 받는 금융 기업이다. 이들은 회비를 납부하고, 금융보안원을 통해 ISMS 인증 심사와 인증을 받는다.

일례로 업비트를 운영하는 두나무는 ISMS-P-KISA-2021-027, 업비트의 실명 계좌 은행 케이뱅크는 ISMS-P-FSI-2024-005다. 또 빗썸은 ISMS-P-KISA-2023-002, 빗썸의 실명 계좌를 발급하는 KB국민은행은 ISMS-P-FSI-2022-005다. 

ISMS 인증번호에 포함된 KISA는 한국인터넷진흥원(Korea Internet & Security Agency), FSI는 금융보안원(Financial Security Institute)을 의미한다. 즉 KISA 인증은 KISA, FSI 인증은 FSI가 발급되는 게 일반적이다.

업계 관계자는 "금융보안원 가입 여부를 두고 검토하는 게 상식에 어긋난다. 인증과 심사는 KISA, 회비는 금융보안원에 납부하는 게 앞뒤가 맞지 않는다"고 말한다.

국내에서 영업 중인 바스프의 ISMS는 일반적인 ISMS와 달리 거래소 전용 ISMS다. 그래서 금융권의 ISMS 심사 항목의 요구사항과 세부항목에서 차이를 보인다. 금융보안원은 과기부가 ISMS-P 통합 인증 출범에 따라 인증기관으로 확대 지정된 것에 불과, 정보통신망법 시행령에 명시된 바스프 인증 조항에 따라 'ISMS 예비인증'까지 부여된 업종까지 관할할 수 있는 명분이 없다.

이러한 상황에서 거래소의 금융보안원 가입은 0에 가까워진다. 업비트와 빗썸이 금융정보분석원(FIU)에 제출하는 ISMS 인증 서류에 FSI가 포함, 이를 신고 수리한다면 졸지에 이들은 금융 기업이 된다. 시쳇말로 KISA와 FSI의 ISMS 중복 인증에 따른 업계의 혼선을 유발, 실질적으로 과기부가 교통정리를 해줄 수밖에 없다.

일각에서는 올해부터 금융감독원(FSS)의 감독분담금이 거래소 업계도 적용, 금융보안원도 '금융보안'에 초점을 맞춰 완력을 행사하려는 것이 아닌가 하는 목소리가 설득력을 얻고 있다. 금융보안원 가입 회비는 총자산과 임직원 수를 고려해 책정되는 정가가 아닌 속칭 시가다.

설령 회비를 낼 수 있는 사업자도 업비트와 빗썸, 코인원으로 한정, 당연히 금융보안원 회원 가입 시 납부하는 회비도 3개 사업자로 좁혀진다.

하지만 과기부가 금융보안원을 민간기관으로 못 박으면서 거래소의 회원 가입 가능성은 원천적으로 차단됐다. 거래소가 스스로 중복 규제가 도사리는 제도권으로 진입할 때 과기부가 가만히 있을 리가 없다.

금융 당국의 거래소 업계 규제는 당연하다. 하지만 금융위원회, 금융감독원, 금융정보분석원, 금융보안원 등 F4가 서로의 영역을 구분하지 않고, 그저 들이민다면 그건 규제가 아니라 횡포다.

그냥 거래소 업계 좀 내버려둬라. 뭐 먹을 게 있다고 막 들어와서 여기저기 규제 메타를 돌리고 있나.