결국 캐셔레스트도 국내 바스프 업계의 희생양으로 전락했다. 이미 몇 년 전 특금법 시행 전부터 신고 수리를 하지 못한 채 사라진 거래소처럼 수익 악화에 따른 경영난으로 폐업을 앞두게 됐다.
6일 뉴링크에 따르면 캐셔레스트의 입금과 회원가입은 이미 오늘(6일) 오전 11시를 기해 차단됐으며, 22일 오후 1시까지 출금 서비스만 지원한다.
캐셔레스트는 지난해 1월 4일 금융정보분석원의 신고 수리증을 수령, 특금법 시행 이후 원화마켓 개설을 위해 사활을 걸었던 바스프다. 이미 캐셔레스트를 비롯해 지닥이나 플라이빗과 함께 '실명계좌 발급 1순위' 사업자로 분류됐었음에도 원화마켓을 선보이지 못하고 사라지게 된 것.
이를 두고 거래소 업계는 캐셔레스트 이후 다른 거래소의 연쇄 중단을 우려하고 있다. 현재 원화마켓을 운영 중인 거래소를 제외하고, 코인마켓의 거래 수수료로 연명하는 데 한계가 올 것으로 보고 있다.
이미 국내외 암호화폐 업계의 불황까지 겹치면서 업비트나 빗썸 등 주요 거래소에 비해 경쟁력까지 떨어지는 상황에서 버텨낼 재간이 없기 때문이다.
국내 거래소 시장의 성장통이라는 긍정적인 의견보다 캐셔레스트를 시작으로 줄폐업이 이어질 것이라는 부정적인 목소리가 공존, 앞으로 코인마켓 거래소의 수난은 이어질 전망이다.
오늘(8일) 코로나19 확산으로 사회적 거리두기 2.5단계가 시행된 가운데 국내 암호화폐 거래소 업계가 혼란에 빠졌다. 현재 시행 중인 2.5단계에서 방역 지침을 따르더라도 현장 심사 시 제약이 많고, 3단계로 격상될 경우 ISMS 인증 심사와 관련된 일정은 모두 중단되기 때문이다.
특히 내년 3월 특금법 시행을 앞두고, ISMS 인증 번호가 시급한 거래소에 일정 연기는 시간이 촉박하다. 기존 사업자를 대상으로 6개월의 유예 기간이 존재하지만, ISMS 인증번호를 획득해야만 금융권의 실명계좌 발급 심사를 진행할 수 있다는 조건 탓에 특금법 시행 전후로 영업에 차질을 빚을 것으로 보인다.
8일 과학기술정보통신부에 따르면 2.5 단계에서 적극적으로 신청을 요청한 암호화폐 거래소의 심사도 검토 중이다. 예년이라면 현장 심사를 진행하겠지만, 현 상황에서 현장에서 심사를 진행한 심사원의 안전이 확실하게 확보된 곳만 진행하겠다는 게 과기부의 설명이다.
KISA는 지난 3월 정부의 '강화된 사회적 거리두기' 연장으로 인증심사를 연기한다고 안내했지만, 2.5단계가 시행됐음에도 태도의 변화는 없다.
KISA 관계자는 "현재 분위기에서 ISMS 인증심사 연기에 대해 별도로 전달받은 사항은 없다"고 말했다.
올해 상반기도 사회적 거리두기 시행으로 현장 심사가 연기돼 일부 대학교, 병원, 거래소 등이 일정에 차질을 빚었으며, 2019년 ISMS 인증 의무 대상자로 8월 31일에서 10월 31일로 마감 시한을 연장한 바 있다. 그 결과 캐셔레스트는 2019년 ISMS 의무사업자의 마감 시한 전에 ISMS 인증을 획득했지만, 코인빗은 받지 못했다.
과기부 관계자는 "현재 상황을 지켜보고 있다. 일정 연기나 대체 심사 등 심사를 진행할 수 있는 모든 방법을 강구하고 있으며, 아직 일정 연기와 관련된 사항은 확정된 게 없다"고 말했다.
코인빗이 ISMS 인증의무를 위반해 과태료(기준금액 3,000만 원) 및 시정조치 명령 대상이다.
코인빗은 지난해 코인제스트, 캐셔레스트와 함께 '2019년 ISMS 인증 의무 대상자'로 지정된 거래소로 '심사 중'이라는 공식 입장 외에는 일련번호가 없다.
정보통신망법에 따르면 인증의무 대상자로 지정되면 이듬해 8월 31일까지 인증번호를 받아야 한다. 올해는 코로나19라는 특수한 상황을 고려해 두 달 연장된 10월 31일까지였지만, 캐셔레스트(9월 16일 획득)를 제외하고 코인제스트와 코인빗은 인증서를 발급받지 못했다.
지난해 9월 바른미래당 신용현 의원은 과학기술정보통신부가 제출한 자료를 토대로 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황'을 공개한 바 있다. 당시 코인제스트, 지닥, 코인빗, 캐셔레스트 등 4곳은 2020년 10월 31일까지 ISMS 인증을 획득해야 하는 '2019년 ISMS 인증 의무 대상자'로 지정됐지만, 캐셔레스트를 제외한 거래소는 감감 무소식이다.
이후 지닥은 KISA와 과기부에 소명 자료를 제출해 '의무 대상자'에서 제외됐지만, 내년 3월 특금법 시행 전후로 ISMS를 획득해야 한다.
과기부 관계자는 "의무 대상자가 인증 결정을 받지 못했다면 과태료 부과와 시정조치 명령 대상이다. 의무 대상이라면 조만간 공문을 발송할 예정이다"라며 "과태료 부과 대상이어도 ISMS 인증 심사시 불이익은 없다. 어차피 의무 대상자를 떠나 국내에서 영업 중인 거래소에게 ISMS 인증은 특금법에 명시됐으므로 받아야 한다"고 말했다.
코로나19 여파로 두 달 연기 영향|지닥(피어테크)은 2019년 ISMS 의무 대상자 제외돼
국내에서 영업 중인 암호화폐 거래소 중 코인제스트와 코인빗, 캐셔레스트 등 3곳은 '2019년 ISMS 인증의무 대상자'로 10월 31일까지 무조건 정보보호관리체계(ISMS, Information Security Management System) 인증을 받아야 한다.
올해 상반기 인증을 받은 펄어비스(ISMS-KISA-2020-112)처럼 KISA의 심사를 통과한 'ISMS-KISA-2020-XXX'라는 인증번호를 받지 않으면 3천 만 원 이하의 과태료가 부과된다.
지난 6월부터 <본지> 트래킹 팀은 최근 3년간 ISMS 인증 현황 기업을 전수 조사하면서 '암호화폐 거래소 ISMS 인증 현황과 사후 관리' 부문에서 미흡한 점을 토대로 KISA와 과학기술정보통신부에 확인하는 교차 검증을 진행 중이다.
21일 <본지>가 KISA에 '2019년 ISMS 인증의무 대상자'의 기준과 마감 시한' 확인 결과 KISA와 과기부는 코인제스트·코인빗·캐셔레스트는 2019년 의무대상으로 판단하고 있다. 또 지닥은 지난해 제외 검토를 통해 올해 2월에 의무대상에서 제외했다.
KISA는 2019년 의무대상자는 2020년 10월 31일까지 인증서를 발급받아야 한다고 설명했다. / 이미지=KISA 알림마당 갈무리
<본지>는 지난해 9월 바른미래당 신용현 의원이 공개한 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황' 리스트를 토대로 사실 확인을 거쳤으며, 지닥을 제외한 3곳의 거래소는 10월 31일이 ISMS 인증 마감 시한이다.
당초 8월 31일이었지만, 코로나19 이슈로 이행기간을 2개월 연장해 10월 31일로 확정된 것.
KISA 측은 코로나19 예방 및 확산 방지를 위하여 인증 이행기한이 2020년 12월 이내인 경우 이행기한을 2개월 연장하도록 했으며, 2019년 의무대상자의 경우 2020년 10월 31일까지 인증서를 발급받으면 된다고 설명했다.
참고로 인증이행기간은 최초심사 대상자의 경우는 인증심사를 받고, 인증위원회 상정하여 인증서 취득을 완료하는 기한을 의미한다. 거래소 3곳은 갱신이 아닌 최초심사 대상이다.
코인제스트·코인빗·캐셔레스트 등 3곳 거래소와 관련해 KISA 측은 <본지>에 3개 기업에서 '2019년 의무대상자가 아니다'라는 내용으로 연락이 온 적은 현재까지 없으며, "의무대상이 아니다"라는 메일을 보낸 적도 없다"고 답했다.
대신 KISA는 올해 3, 4월 초 '정보보호관리체계' 홈페이지의 알림마당을 통해 <코로나19 예방 및 확산방지를 위한 정보보호 관리체계(ISMS) 인증심사 연기 안내> 공지와 별도로 신청기관에 이메일을 통해 안내했다.
결국 코로나19 여파로 8월 31일에서 2개월 연장된 것에 불과할 뿐 이들이 인증번호를 받아야하는 의무는 여전하다.
정보보호 관리체계 인증 2회 연속으로 획득한 서울성모병원 / 사진=서울성모병원
이와 별도로 ISMS 인증을 2회 연속으로 획득한 서울성모병원(ISMS-KISA-2020-120)은 최초심사 대상이 아님에도 코로나19 이슈와 인증범위를 고려하더라도 심사 연기 이후 ▲내·외부 전문컨설팅 등 6개월 준비 및 운영기간을 거쳐 ▲ISMS 전문평가단 방문 평가, 5월 11일~15일 ▲7월 29일 최종 보고서를 통해 2차 인증 획득이 확정됐다.
서울성모병원 측은 의료정보시스템(EMR, OCS) 및 홈페이지 서비스 운영’의 전 범위를 대상으로 ISMS 인증기준 항목에 대한 문서검토, 안전조치, 자산관리, 관련 부서 인터뷰 및 현장 실사 등 다양한 방법으로 평가가 진행됐다고 설명했다.
이를 토대로 서울성모병원은 적어도 지난해 10월부터 ISMS 인증을 준비했으며, 3월에 예정됐던 방문 심사는 5월에 진행해 2개월 뒤에 인증을 통과했다는 산술적인 계산이 나온다. 또 거래소가 아닌 IT 업계에서 '2019년 의무대상자'로 지정된 A 업체는 최초심사 대상자로 7월에 인증번호를 받았다.
유독 국내 암호화폐 거래소 업계가 ISMS 인증 준비를 위해 언론플레이로 시간 끌기를 하고 있다는 지적이 나오는 이유다.
과기부, 코인제스트 외 3개 거래소 ISMS 인증의무 대상자 지정, 미인증시 3,000만 원 이하 과태료
국내 암호화폐 거래소 코인제스트·코인빗·지닥·캐셔레스트의 ISMS 인증 시한이 24일 남았다. 이들은 지난해 과학기술정보통신부가 지정한 ISMS 인증의무 대상자로 오는 31일까지 '인증번호'를 받아야 한다.
이들은 고팍스나 한빗코처럼 의무대상이 아님에도 자율적으로 인증을 획득한 거래소와 다르다. 과기부가 지목한 거래소 4곳은 인증번호를 받지 못하면 3,000만원 이하 과태료가 부과되며, 향후 암호화폐 거래소 사업 진행에 있어 무형의 불이익이 우려되는 상황이다.
7일 과기부, KISA 등에 따르면 코인제스트·코인빗·지닥·캐셔레스트는 의무 대상자로 ISMS와 ISMS-P 인증 등 둘 중에 하나를 선택해 8월 31일까지 인증을 받아야하며, 인증을 받지 않으면 3천 만 원 이하의 과태료가 부과된다.
2017년 12월 13일 국무조정실장 주재 기재부, 법무부, 금융위원회, 과기정통부, 공정거래위원회, 방송통신위원회 등 관계부처 차관회의에서 암호화폐 거래소 13곳을 대상으로 ▲전자상거래법상 통신판매업 신고 대상에 해당되는지 여부 등을 확인 ▲ 사업자가 사용하는 약관 규정 중 불공정한 내용이 있는지 점검(공정위) 등을 현장 조사를 진행했다.
그 결과 접근통제장치 설치·운영, 개인정보의 암호화 조치 등 관리적·기술적 보안조치가 전반적으로 미흡한 것으로 나타나면서 관계부처 중 1주일 뒤(12월 20일) 과기부가 '조속히'라는 표현을 쓸 정도로 빗썸과 업비트, 코빗과 코인원을 '2018년 ISMS 의무 대상자'로 통보했다.
그로부터 1년 뒤 ▲업비트, 2018년 11월 19일 ▲코빗, 2018년 12월 11일 ▲코인원, 2018년 12월 27일 ▲빗썸, 2018년 12월 27일 등이 ISMS 인증번호를 받았다.
ISMS 인증 의무대상자의 기준은 매출액 100억 원 이상, 일일 평균 방문자 수 100만 이상의 대상기업(정보통신망법 제47조)이다. 이에 따라 2019년 의무 대상자인 코인제스트·코인빗·지닥·캐셔레스트 등도 기존 거래소 4곳과 기준이 동일하다.
하지만 코인빗은 의무 대상자임에도 '코로라19' 여파로 9월에 심사를 신청하겠다고 밝혀, 국내 암호화폐 업계는 동요하고 있다. 다른 거래소도 동일한 상황이지만, '8월 31일' 시한을 넘겨 심사를 신청하겠다는 입장을 밝힌 곳은 없기 때문이다.
코인빗 측은 9월에 ISMS 심사를 신청하고, 10월에 사전 심사, 11월에 현장 심사를 받겠다고 설명했다.
코인빗 관계자는 "ISMS 인증 심사 대상자에게 내려온 공문의 내용처럼 코로나19 예방과 확산방지를 위한 강도 높은 사회적 거리두기 권고사항에 따라 예비점검, 현장심사, 보완조치 점검 등의 모든 현장방문이 연기됐으나 전담팀을 구성해 준비 중이다"라고 말했다.
KISA에 따르면 지난달 29일 SK인포섹과 한국중부발전이 KISA로부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 번호를 받은 이후 8월에 인증번호를 기업이나 기관은 없다.
의무 대상자가 스스로 기한을 넘겨 심사를 신청하겠다는 입장을 밝힌 것에 대해 KISA 관계자는 "현재 심사와 관련해 접수된 곳이나 진행 상황은 공개할 수 없다"고 말했다.
<본지>가 2020년 상반기 ISMS와 ISMS-P 인증번호를 부여받은 기업 중 익명을 요구하는 조건으로 심사기간을 말해준 곳의 답변은 다음과 같다.
"심사 신청 후 인증 번호를 받기까지 3개월이 소요됐다"
KISA 측은 ISMS인증 의무대상자 확인과 책임은 기업(기관)에 있으므로 스스로 의무대상 여부를 확인하여 인증을 취득한 필요가 있다고 설명한다. 즉 코인빗은 스스로 확인한 것이 아닌 과기부가 지목한 '의무 대상자'라는 점이다.
KISA 관계자는 "특정 업종을 차별하거나 특별히 신경써서 우선적으로 심사하지 않는다. 의무 대상자나 자율 인증 신청자도 같은 기준에서 심사를 진행한다"고 말했다.
문제는 올해 상반기 인증번호를 받은 기업 중에는 '의무 대상자'가 포함됐다는 점이다. 이는 코인빗이 밝힌 것과 차이가 있어 적잖은 파장이 예상된다.
상장 폐지 바람이 중급 규모의 거래소에서도 이어지고 있다. 예년에 비해 비트코인의 시장 지배력이 70% 돌파를 앞둔 가운데 알트코인이 맥을 못추고 있다는 지적이다.
일각에서는 거래소와 프로젝트팀의 기획 상장 특수가 예전 같지 않다는 의견까지 나온다.
3일 캐셔레스트에 따르면 다빈치 코인(DAC), 업월렛(UWTC), 아르고스(AGO), 엘레 네트워크(ELE), 알파시티코인 (ACC), DACC(DACC), 아이하우스토큰(IHT), 왑 네트워크 (WAB), 크립토닷컴(MCO), 바이블코인(GIB), 레이벡스 코인(RBC) 등 11종 프로젝트의 상장폐지가 확정됐다.
이번에 퇴출이 확정되는 프로젝트 11종은 2월 13일 오전 10시부터 입금이 제한되며, 2월 20일 오전 10시부터 거래가 중지된다.
캐셔레스트는 코인마켓캡 기준 하루 거래량 40억 원 규모의 TOP 130 암호화폐 거래소다. 지난해 9월부터 시작된 캐셔레스트의 알트코인 퇴출은 31개로 늘었다.
특히 이번에 퇴출된 프로젝트 대부분은 원화마켓 상장 특수만 노린 잡코인이었던 것으로 나타났다. 크립토닷컴 코인이나 다빈치 코인, 디에씨씨, 아이하우스토큰, 왑 네트워크 등을 제외하고, 공식 홈페이지가 사라졌을 정도로 백서에 공개된 로드맵은 장식에 불과했다.
특히 레이벡스 코인은 2019년 8월 7일에 상장, 약 6개월(177일) 만에 퇴출당할 정도로 알트코인 평균 1년조차 채우지 못했다. 블록체인 부동산 거래 플랫폼인 레이벡스(REIBex) 상에서 수수료와 보증금으로 사용되는 유틸리티 토큰을 표방했지만, 정작 사용처 하나 없는 잡코인 취급을 받아 퇴출이 확정됐다.
