리뷰10K

합리적인 노력에 대해 '합리적인 의심'

한때 위믹스의 백기사로 자처했던 지닥이 거래소의 본성을 드러내며, 위믹스를 버렸다. 피어테크 측이 밝힌 사유는 시장성 결여, 법적 문제(미신고 의심 가상자산사업자)를 문제삼아 투자유의 종목 지정 절차를 생략, 무통보 상장 폐지로 위믹스의 흔적 지우기에 나섰다.

그럴싸한 거래소의 상폐 명분이지만, 이면에는 프로젝트팀보다 영세한 거래소의 수수료 빼먹기가 이전보다 힘들어진 현실을 투영했다.

우선 시장성 결여는 지닥이 가져갈 거래 수수료가 처참했다는 의미다. 

즉 위믹스가 아닌 지닥에서 거래량이 없어 거래소의 수익 모델 중 하나인 거래 수수료 외에는 뾰족한 방법이 없었다. 위믹스 친위대 '40 원더스' 멤버가 아니었다면 쳐다도 안 봤을 거래소다. 원화 마켓도 없이 코인마켓으로 연명하는 바스프로 투자자 보호를 앞세워 위믹스를 상장할 당시와 현격히 달라진 분위기도 무시 못 한다. 

이전부터 존재감도 없던 바스프였고, 오는 7월 시행될 가상자산이용자보호법이라면 지닥의 신고수리도 장담할 수 없다. 홈페이지에 명시된 ISMS 인증번호(ISMS-KISA-2020-210)는 지난해 12월 2일에 발급됐으며, 정보통신망법에 의거 최초-사후-갱신 심사 등 올해 12월 1차 사후심사가 예정되어 있다.

하지만 피어테크는 같은 달 'ISMS-KISA-2023-170'라는 바스프 전용 예비인증 번호를 부여받았다. 예비인증 이후 3개월 뒤에 정식 신고수리를 하지 못하면 해당 번호의 효력은 무효, 피어테크가 운영하는 지닥이라는 거래소는 금융정보분석원의 '바스프 현황'에 이름을 올리기 힘들어진다.

이미 지닥은 위믹스(WEMIX)를 무통보 상장 폐지를 진행하며, 지닥은 회원과 맺은 계약을 어기면서 몽니를 부렸다.

피어테크의 이용약관에 따르면 ▲회사는 디지털 자산 거래지원 종료 여부를 사전에 회원에게 알리기 위해 합리적인 노력을 기울일 것입니다 ▲디지털 자산 거래지원 종료 공지일로부터 적어도 30일의 기간 동안 지닥 이외 타 거래소에서 발급된 개인 지갑 등에 디지털 자산을 이전할 수 있도록 이전(출금)을 지원합니다 등을 표기했다.

그렇다면 무통보 상장 폐지를 자행하기 전에 지닥의 합리적인 노력에 대해 '합리적인 의심'이 든다. 피닉스 덱스가 특금법에 따라 신고를 하지 않고 국내에서 영업하는 불법으로 판단했다면 특금법 위반 사업자 혹은 금융위, 수사기관 등의 방침이나 협조 공문이 있어야 한다. 

지닥만 내쳤을 뿐 빗썸과 코빗 그리고 코인원은 위믹스의 거래쌍을 유지 중이다. 이들이 위믹스의 법적 문제를 알고도 특금법을 위반해 영업 정지 전까지 위믹스의 거래 수수료를 벌어보겠다는 정신 나간 바스프는 아니다.

처음부터 위믹스 거래로 벌어들일 수수료가 없었다고 했어야만 했다. 미디어의 사실 확인을 거부한 채 입 다물고 있으면 만사가 해결될 것으로 알고 있다면 착각이다.

이 닥(GDAC)이나 저 닥(DAXA)이나 위믹스(WEMIX)에게 왜 시비(是非)만 거는지.

정보통신망법 위반 사실 없다고 항변한 피어테크

피어테크는 지난 9일 오전 7시에 발생한 지닥의 핫월렛 해킹 발생과 관련, KISA 해킹 신고보다 수사기관이 접수가 빨랐다고 밝혔다. 그럼에도 사건 발생 직후 신고가 늦어졌으며, 정보통신망법상 '즉시'에 해당했음에도 문제가 없다고 주장했다.

12일 피어테크에 따르면 내외경제TV에 해킹 신고 과정에서 오해가 있었다며 반론을 요청했으며, 내외경제TV는 피어테크의 입장을 반영한 후속 보도를 이어간다.

피어테크 측은 ▲일요일(9일) 수사기관 접수 ▲월요일(10일) 오전 10시 KISA 신고 등 초동 대처에 집중했다고 설명했다. 그러나 지난 8일 최초 거래소 지갑에서 탈취가 시작된 시각에 대해서는 함구했다.

대신 피어테크는 내외경제TV에 수사 기관 방문 전 '사이버 수사대'에 신고한 캡처 내역을 제공했으며, 지난 11일 '지닥, 해킹 신고 골든타임 놓쳤지만 사고 수습 총력' 보도에 언급된 일요일에 신고할 수 없었다는 설명은 오해였다고 강조했다.

일각에서는 피어테크의 억울함을 공감하면서도 초동 대처가 미흡했고, 특히 특금법 시행 이후 금융정보분석원에 신고 수리가 완료된 바스프의 첫 번째 사고 사례를 들어 촉각을 곤두세우고 있다.

ISMS 심사 인증 기관 한국인터넷진흥원, KISA의 상급 기관인 과기부의 정보통신망법 즉시 신고 여부, 금융정보분석원의 실사 이후 발생한 사고 등으로 미뤄 실명계좌 발급 1순위로 꼽혔던 피어테크의 사후 수습에 따라 거래소의 명운이 걸려 있다는 관측이 지배적이다.

개인정보 보호책임자 연락처 無｜ISMS 사후 심사 놓쳤나

지닥(GDAC)이 개인정보 보호법을 위반 소지가 있다는 지적이 나온다. 

내외경제TV는 지난해 3월 25일 특금법에 따른 트래블 룰 시행을 앞두고 금융정보분석원(FIU)에 신고된 바스프를 전수 조사한 바 있으며, 다시 시행 1년을 앞둔 시점에 재조사를 진행했다.

16일 관련 업계에 따르면 피어테크가 운영하는 지닥의 개인정보 처리방침에 개인정보 보호책임자의 소속 부서 연락처가 표기되지 않은 것을 확인했다. 이는 개인정보 보호법을 위반한 소지가 있어 다른 바스프와 배치되는 부분이다.

일반적으로 회원 가입이 필요한 웹사이트는 이용 약관과 별도로 개인정보 처리방침을 별도로 표기한다. 이미 한국인터넷진흥원과 개인정보보호위원회는 처리방침 작성 가이드라인을 공개하고 있으며, 이를 노출하지 않으면 현행법 위반으로 1천만 원 이하 과태료가 부과된다.

개인정보 보호위원회에 따르면 처리방침에 개인정보 보호책임자의 이름, 직책, 연락처를 기재해야 한다. 연락처는 전화번호, 이메일, 팩스번호 등을 표기해야 하며, 이메일 주소만 노출한다면 상식적으로 '연락처'로 간주하지 않는다.

위원회 측은 직통 연락처 외에 관련 부서의 연락처도 상관없다는 조항을 달았지만, 이메일 주소만 표기해도 좋다는 조항은 없다. 이러한 기준에 맞춰 지닥은 이메일 주소 외에 직통이나 관련 부서의 연락처가 없어 개인정보 보호법을 위반한 소지가 다분하다.

현재 사용 중인 개인정보 처리방침은 지난해 5월 개정된 것으로 앞서 스마트지원센터와 별도의 연락처를 표기했던 이전 방침이 존재, 지난해 12월 ISMS 인증 사후 심사 과정에서 이를 놓친 것으로 풀이된다.

또 지닥은 올해 12월에 만료되는 기존 ISMS 인증의 갱신 심사 혹은 바스프 전용 ISMS 최초 심사를 앞두고 있어 향후 논란의 여지가 남아있다.

한국기업평판연구소의 '가상화폐거래소 브랜드' 데이터 오류 심각

업비트가 깐깐해졌다.

오는 9월 국내에서 영업 중인 암호화폐 거래소의 생존 여부가 잠정적으로 결론이 나오는 상황에서 업비트가 광고 문구 하나까지 오점을 지우기 위해 안간힘을 쓰고 있다.

13일 네이버, 업비트 등에 따르면 업비트는 네이버 모바일 페이지에 노출되는 일부 광고 문구를 '브랜드평판 1위'에서 국내 거래량 1위로 변경했다. 해당 페이지는 PC가 아닌 스마트 폰으로 업비트를 검색할 때 노출되는 네이버의 파워링크로 본지가 이를 문제 삼자 즉각 수정했다.

두나무가 기존 업비트 파워링크 문구에 사용했던 '브랜드평판 1위'는 한국기업평판연구소의 브랜드평판지수를 인용한 것으로 한국기업평판연구소 측은 매달 '가상화폐거래소 브랜드'를 브랜드평판지수와 함께 공개한다.

하지만 지난 5월 본지가 한국기업평판연구소의 데이터 수집 과정에서 문제가 있다고 지적했음에도 지난달 공개된 브랜드평판지수의 데이터 신뢰도 문제는 여전했다.

지난달 18일 한국기업평판연구소가 공개한 2021년 6월 브랜드평판 순위에 따르면 지닥과 피어테크가 각각 참여지수 부문에서 11위와 20위에 올랐다. 지닥(GDAC)은 피어테크가 운영하는 암호화폐 거래소로 운영 주체와 거래소 브랜드가 동시에 언급, 데이터의 신뢰도가 제로에 가깝다.

예를 들면, 업비트의 운영 주체는 두나무, 고팍스의 운영 주체는 스트리미, 프로비트의 운영 주체는 오션스 등처럼 거래소를 운영하는 회사를 별도로 표기하거나 부연 설명을 해야 한다.

특히 본지가 데이터 표본을 문제 삼기 전까지 한국기업평판연구소는 2020년 9월부터 잘못된 데이터를 제공했다. 지난해 9월 15일 한국기업평판연구소가 공개한 '2020년 9월 빅데이터 분석 결과'에서 업사이드는 13위에 이름을 올렸지만, 데이터 공개 전날(14일) 업사이드는 폐업했다.

이후 1년 가까이 업사이드는 거래소 브랜드 빅데이터 순위로 집계됐으며, 이는 업비트를 비롯해 특정 거래소의 커뮤니티를 중심으로 '브랜드평판'을 인용하면서 일부 미디어들도 이러한 데이터를 기사화하면서 데이터 검증에 소홀했다는 지적이 나오는 이유다.

은행 실명계좌등록 사전예약 이벤트로 선점 효과 노려

특금법 시행 2일차에 접어들며 국내 암호화폐 거래소 업계에서 실명계좌를 발급받은 거래소의 윤곽이 드러나고 있다. 

일부 미디어를 통해 흘러나오는 '협의 중'이라는 언론 플레이보다 실명계좌 발급과 관련된 프로모션을 진행, 실질적으로 은행명만 공개하지 않았을 뿐 협의가 끝나 발급을 받은 거래소를 중심으로 특금법을 대비한 행보를 보이고 있다.

26일 암호화폐 거래소 업계에 따르면 지닥을 운영하는 피어테크는 은행과의 실명확인 입출금 서비스(실명계좌) 계약 공개에 앞서 회원들을 대상으로 이벤트를 내달 23일까지 진행한다.

이를 두고 업계는 실명계좌 발급 심사가 진행 중인 상황에서 이벤트를 진행하는 게 아니라 이미 발급을 받고, 양사의 기밀유지 협약에 의해 이름을 공개하지 않는 것으로 보고 있다. 그래서 이벤트 마감 시한이 4월 23일로 고정, 지닥의 실명계좌는 적어도 4월 24일에 공개될 것으로 보인다.

지닥 측은 상호 협의에 의해 공개하지 않는 것일 뿐 현재로선 아무런 입장도 밝힐 수 없다며 말을 아끼고 있다. 이는 실명계좌 발급 심사에서 누락된 것이 아니라 이미 특금법 시행 전에 절차를 마무리한 것으로 풀이된다.

에이프로빗까지 특금법 시행 전 11곳으로 늘어｜2021년 거래소 전용 ISMS 심사 진행

내년 3월 25일 특금법 시행을 앞두고 국내 암호화폐 거래소 업계가 ISMS 인증과 실명계좌 발급 심사를 진행 중인 가운데 에이프로빗이 ISMS 인증을 획득, 플라이빗과 지닥과 함께 12월의 ISMS 막차에 간신히 탑승했다.

29일 KISA에 따르면 에이프로빗(운영, 에이프로코리아)은 ISMS 인증번호(ISMS-KISA-2020-219)를 획득했다. 이로써 특금법 시행을 앞두고 ISMS 인증을 완료한 11번째 거래소가 됐으며, 다른 거래소와 마찬가지로 실명계좌 발급 심사를 준비할 수 있게 됐다.

지난해 한빗코만 ISMS를 획득했던 것과 달리 올해는 코로나19 여파 속에서도 5곳의 거래소가 ISMS를 획득했다. 이를 두고 관련 업계에 따르면 내년부터 거래소를 운영하는 회사는 '거래소 전용 ISMS 인증 심사'가 진행될 예정이다.

지난 11월 KISA는 암호화폐 거래소를 위한 세부항목 56개를 추가, 381개의 점검항목으로 인증심사를 진행하겠다고 밝힌 바 있다. 

이전에 ISMS 인증번호를 부여받은 거래소는 325개 항목에 불과하지만, 2021년은 381개다. 특히 '월렛'을 중점적으로 심사할 정도로 거래소의 안정성에 초점이 맞춰졌다. 이는 금융보안원이 금융회사와 전자금융업자를 대상으로 심사하는 ISMS 인증 항목 384개보다 3개 적을 뿐 금융기관에 준하는 심사 기준이다. 

ISMS 인증번호를 획득한 거래소는 실명계좌 발급 심사만을 앞두고 있지만, 2021년에 ISMS 심사를 진행하는 거래소는 난관에 봉착했다. 코로나19 여파로 ISMS 현장 심사가 불투명하고, 내년부터는 거래소 전용 ISMS 인증심사를 거쳐야 한다.

특금법 시행 후 기존 사업자의 6개월 유예기간에 ISMS 인증획득과 실명계좌 발급까지 완료해야만 9월 이후에 정상 영업할 수 있어 시간이 촉박하기 때문이다.

내년 3월 특금법 시행 앞두고 ISMS 인증 박차｜금융권 실명계좌 발급 심사 우선권 확보

지닥(GDAC)도 ISMS 인증을 획득, 실명계좌 발급 심사를 받기 위한 첫 번째 조건을 달성했다.

내년 3월 특금법 시행을 앞두고, 국내 암호화폐 거래소 업계가 실명 계좌 발급 심사를 위한 선결 조건인 'ISMS 인증 번호' 획득에 총력을 기울인 가운데 ISMS 인증을 획득한 거래소가 됐다.

10일 관련 업계에 따르면 암호화폐 거래소 지닥(GDAC)을 운영하는 피어테크는 이달 초 현장 심사를 진행했으며, 최초심사를 통과해 인증서 수령을 앞두고 있다.

이후 인증서 수령과 KISA의 인증현황 게시판에 피어테크의 ISMS 인증번호가 공개되는 순간부터 홍보가 가능해진다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법 )에 따르면 인증번호가 부여되는 순간부터 인터뷰와 미디어와 취재, 업체가 운영하는 커뮤니티와 보도자료 배포 등에 인증의 내용을 표시할 수 있다.

특히 인증번호가 부여되기 전 심사의 주체인 피어테크가 홍보를 위한 자료를 배포할 시 제47조 제9항에 따라 3천만 원 이하의 과태료가 부과될 수 있다.

당초 지닥은 코인제스트, 코인빗, 캐셔레스트와 함께 2019년 인증 의무사업자로 지정돼 2020년 10월 31일까지 인증번호를 획득했어야 하는 사업체였다. 하지만 지닥은 2월 소명 자료를 제출해 의무대상으로 제외됐음에도 8월에 중간 진행 상황을 공유, 심사를 진행 중이라고 공식 입장을 밝힌 바 있다.

지난 3월 과기부와 KISA는 정부의 코로나19 확산에 따른 '고강도 사회적 거리두기'로 ISMS 심사와 관련된 일정을 2개월 연기한 바 있다. 또 지난 8일 수도권 거리두기 2.5단계로 격상되면서 수도권에 사업장 소재지로 등록된 거래소의 심사 일정도 차질을 빚을 것으로 보고 있다.

과기부 측은 심사를 요청한 사업체만 현장 심사원의 안전을 확보할 수 있는 곳만 심사를 검토 중이라는 설명만 있을 뿐 심사 진행과 연기 등에 관련된 입장을 내놓지 않고 있다. 이에 따라 KISA를 비롯한 3곳의 심사기관이 독자적으로 심사를 강행할 수도 없다.

현행법에 따르면 과기부·방송통신위원회·행정안전부가 정책기관으로, KISA와 금융보안원은 인증 기관, 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA), 개인정보호보협회(OPA) 등 3곳이 심사 기관이다.

예를 들면, 과기부가 인증 기관과 심사 기관을 지정할 수 있으며, 관련 자격증을 보유한 인증심사원이 인증심사를 진행하는 구조다.

이로써 지닥은 9번째 ISMS 인증번호를 획득해 실명 계좌 발급 심사를 위한 자격이 갖춰지면서 고팍스나 한빗코와 같은 출발선에 섰다. 더욱 코로나19 상황 속에서 현장 심사가 불투명한 가운데 사실상 유리한 고지를 선점해 후오비코리아나 포블게이트, 코인빗 등에 비해 한시름 덜게 됐다.

19년 ISMS인증 의무 대상자에 포함돼 10월 31일 시한 넘겨

코인빗이 ISMS 인증의무를 위반해 과태료(기준금액 3,000만 원) 및 시정조치 명령 대상이다. 

코인빗은 지난해 코인제스트, 캐셔레스트와 함께 '2019년 ISMS 인증 의무 대상자'로 지정된 거래소로 '심사 중'이라는 공식 입장 외에는 일련번호가 없다.

정보통신망법에 따르면 인증의무 대상자로 지정되면 이듬해 8월 31일까지 인증번호를 받아야 한다. 올해는 코로나19라는 특수한 상황을 고려해 두 달 연장된 10월 31일까지였지만, 캐셔레스트(9월 16일 획득)를 제외하고 코인제스트와 코인빗은 인증서를 발급받지 못했다.

지난해 9월 바른미래당 신용현 의원은 과학기술정보통신부가 제출한 자료를 토대로 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황'을 공개한 바 있다. 당시 코인제스트, 지닥, 코인빗, 캐셔레스트 등 4곳은 2020년 10월 31일까지 ISMS 인증을 획득해야 하는 '2019년 ISMS 인증 의무 대상자'로 지정됐지만, 캐셔레스트를 제외한 거래소는 감감 무소식이다.

이후 지닥은 KISA와 과기부에 소명 자료를 제출해 '의무 대상자'에서 제외됐지만, 내년 3월 특금법 시행 전후로 ISMS를 획득해야 한다.

과기부 관계자는 "의무 대상자가 인증 결정을 받지 못했다면 과태료 부과와 시정조치 명령 대상이다. 의무 대상이라면 조만간 공문을 발송할 예정이다"라며 "과태료 부과 대상이어도 ISMS 인증 심사시 불이익은 없다. 어차피 의무 대상자를 떠나 국내에서 영업 중인 거래소에게 ISMS 인증은 특금법에 명시됐으므로 받아야 한다"고 말했다. 

코로나19 여파로 두 달 연기 영향｜지닥(피어테크)은 2019년 ISMS 의무 대상자 제외돼

 
국내에서 영업 중인 암호화폐 거래소 중 코인제스트와 코인빗, 캐셔레스트 등 3곳은 '2019년 ISMS 인증의무 대상자'로 10월 31일까지 무조건 정보보호관리체계(ISMS, Information Security Management System) 인증을 받아야 한다. 

올해 상반기 인증을 받은 펄어비스(ISMS-KISA-2020-112)처럼 KISA의 심사를 통과한 'ISMS-KISA-2020-XXX'라는 인증번호를 받지 않으면 3천 만 원 이하의 과태료가 부과된다.

지난 6월부터 <본지> 트래킹 팀은 최근 3년간 ISMS 인증 현황 기업을 전수 조사하면서 '암호화폐 거래소 ISMS 인증 현황과 사후 관리' 부문에서 미흡한 점을 토대로 KISA와 과학기술정보통신부에 확인하는 교차 검증을 진행 중이다.

21일 <본지>가 KISA에 '2019년 ISMS 인증의무 대상자'의 기준과 마감 시한' 확인 결과 KISA와 과기부는 코인제스트·코인빗·캐셔레스트는 2019년 의무대상으로 판단하고 있다. 또 지닥은 지난해 제외 검토를 통해 올해 2월에 의무대상에서 제외했다.

<본지>는 지난해 9월 바른미래당 신용현 의원이 공개한 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황' 리스트를 토대로 사실 확인을 거쳤으며, 지닥을 제외한 3곳의 거래소는 10월 31일이 ISMS 인증 마감 시한이다. 

당초 8월 31일이었지만, 코로나19 이슈로 이행기간을 2개월 연장해 10월 31일로 확정된 것. 

KISA 측은 코로나19 예방 및 확산 방지를 위하여 인증 이행기한이 2020년 12월 이내인 경우 이행기한을 2개월 연장하도록 했으며, 2019년 의무대상자의 경우 2020년 10월 31일까지 인증서를 발급받으면 된다고 설명했다. 

참고로 인증이행기간은 최초심사 대상자의 경우는 인증심사를 받고, 인증위원회 상정하여 인증서 취득을 완료하는 기한을 의미한다. 거래소 3곳은 갱신이 아닌 최초심사 대상이다.

코인제스트·코인빗·캐셔레스트 등 3곳 거래소와 관련해 KISA 측은 <본지>에 3개 기업에서 '2019년 의무대상자가 아니다'라는 내용으로 연락이 온 적은 현재까지 없으며, "의무대상이 아니다"라는 메일을 보낸 적도 없다"고 답했다.

대신 KISA는 올해 3, 4월 초 '정보보호관리체계' 홈페이지의 알림마당을 통해 <코로나19 예방 및 확산방지를 위한 정보보호 관리체계(ISMS) 인증심사 연기 안내> 공지와 별도로 신청기관에 이메일을 통해 안내했다. 

결국 코로나19 여파로 8월 31일에서 2개월 연장된 것에 불과할 뿐 이들이 인증번호를 받아야하는 의무는 여전하다.

이와 별도로 ISMS 인증을 2회 연속으로 획득한 서울성모병원(ISMS-KISA-2020-120)은 최초심사 대상이 아님에도 코로나19 이슈와 인증범위를 고려하더라도 심사 연기 이후 ▲내·외부 전문컨설팅 등 6개월 준비 및 운영기간을 거쳐 ▲ISMS 전문평가단 방문 평가, 5월 11일~15일 ▲7월 29일 최종 보고서를 통해 2차 인증 획득이 확정됐다.

서울성모병원 측은 의료정보시스템(EMR, OCS) 및 홈페이지 서비스 운영’의 전 범위를 대상으로 ISMS 인증기준 항목에 대한 문서검토, 안전조치, 자산관리, 관련 부서 인터뷰 및 현장 실사 등 다양한 방법으로 평가가 진행됐다고 설명했다.

이를 토대로 서울성모병원은 적어도 지난해 10월부터 ISMS 인증을 준비했으며, 3월에 예정됐던 방문 심사는 5월에 진행해 2개월 뒤에 인증을 통과했다는 산술적인 계산이 나온다. 또 거래소가 아닌 IT 업계에서 '2019년 의무대상자'로 지정된 A 업체는 최초심사 대상자로 7월에 인증번호를 받았다.

유독 국내 암호화폐 거래소 업계가 ISMS 인증 준비를 위해 언론플레이로 시간 끌기를 하고 있다는 지적이 나오는 이유다.

과기부, 코인제스트 외 3개 거래소 ISMS 인증의무 대상자 지정, 미인증시 3,000만 원 이하 과태료

국내 암호화폐 거래소 코인제스트·코인빗·지닥·캐셔레스트의 ISMS 인증 시한이 24일 남았다. 이들은 지난해 과학기술정보통신부가 지정한 ISMS 인증의무 대상자로 오는 31일까지 '인증번호'를 받아야 한다.

이들은 고팍스나 한빗코처럼 의무대상이 아님에도 자율적으로 인증을 획득한 거래소와 다르다. 과기부가 지목한 거래소 4곳은 인증번호를 받지 못하면 3,000만원 이하 과태료가 부과되며, 향후 암호화폐 거래소 사업 진행에 있어 무형의 불이익이 우려되는 상황이다.

7일 과기부, KISA 등에 따르면 코인제스트·코인빗·지닥·캐셔레스트는 의무 대상자로 ISMS와 ISMS-P 인증 등 둘 중에 하나를 선택해 8월 31일까지 인증을 받아야하며, 인증을 받지 않으면 3천 만 원 이하의 과태료가 부과된다.

2017년 12월 13일 국무조정실장 주재 기재부, 법무부, 금융위원회, 과기정통부, 공정거래위원회, 방송통신위원회 등 관계부처 차관회의에서 암호화폐 거래소 13곳을 대상으로 ▲전자상거래법상 통신판매업 신고 대상에 해당되는지 여부 등을 확인 ▲ 사업자가 사용하는 약관 규정 중 불공정한 내용이 있는지 점검(공정위) 등을 현장 조사를 진행했다.

그 결과 접근통제장치 설치·운영, 개인정보의 암호화 조치 등 관리적·기술적 보안조치가 전반적으로 미흡한 것으로 나타나면서 관계부처 중 1주일 뒤(12월 20일) 과기부가 '조속히'라는 표현을 쓸 정도로 빗썸과 업비트, 코빗과 코인원을 '2018년 ISMS 의무 대상자'로 통보했다. 

그로부터 1년 뒤 ▲업비트, 2018년 11월 19일 ▲코빗, 2018년 12월 11일 ▲코인원, 2018년 12월 27일 ▲빗썸, 2018년 12월 27일 등이 ISMS 인증번호를 받았다. 

ISMS 인증 의무대상자의 기준은 매출액 100억 원 이상, 일일 평균 방문자 수 100만 이상의 대상기업(정보통신망법 제47조)이다. 이에 따라 2019년 의무 대상자인 코인제스트·코인빗·지닥·캐셔레스트 등도 기존 거래소 4곳과 기준이 동일하다.

하지만 코인빗은 의무 대상자임에도 '코로라19' 여파로 9월에 심사를 신청하겠다고 밝혀, 국내 암호화폐 업계는 동요하고 있다. 다른 거래소도 동일한 상황이지만, '8월 31일' 시한을 넘겨 심사를 신청하겠다는 입장을 밝힌 곳은 없기 때문이다.

코인빗 측은 9월에 ISMS 심사를 신청하고, 10월에 사전 심사, 11월에 현장 심사를 받겠다고 설명했다.

코인빗 관계자는 "ISMS 인증 심사 대상자에게 내려온 공문의 내용처럼 코로나19 예방과 확산방지를 위한 강도 높은 사회적 거리두기 권고사항에 따라 예비점검, 현장심사, 보완조치 점검 등의 모든 현장방문이 연기됐으나 전담팀을 구성해 준비 중이다"라고 말했다.

KISA에 따르면 지난달 29일 SK인포섹과 한국중부발전이 KISA로부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 번호를 받은 이후 8월에 인증번호를 기업이나 기관은 없다.

의무 대상자가 스스로 기한을 넘겨 심사를 신청하겠다는 입장을 밝힌 것에 대해 KISA 관계자는 "현재 심사와 관련해 접수된 곳이나 진행 상황은 공개할 수 없다"고 말했다.

<본지>가 2020년 상반기 ISMS와 ISMS-P 인증번호를 부여받은 기업 중 익명을 요구하는 조건으로 심사기간을 말해준 곳의 답변은 다음과 같다. 

"심사 신청 후 인증 번호를 받기까지 3개월이 소요됐다"

KISA 측은 ISMS인증 의무대상자 확인과 책임은 기업(기관)에 있으므로 스스로 의무대상 여부를 확인하여 인증을 취득한 필요가 있다고 설명한다. 즉 코인빗은 스스로 확인한 것이 아닌 과기부가 지목한 '의무 대상자'라는 점이다.

KISA 관계자는 "특정 업종을 차별하거나 특별히 신경써서 우선적으로 심사하지 않는다. 의무 대상자나 자율 인증 신청자도 같은 기준에서 심사를 진행한다"고 말했다.

문제는 올해 상반기 인증번호를 받은 기업 중에는 '의무 대상자'가 포함됐다는 점이다. 이는 코인빗이 밝힌 것과 차이가 있어 적잖은 파장이 예상된다.