리뷰10K

에이프로빗까지 특금법 시행 전 11곳으로 늘어｜2021년 거래소 전용 ISMS 심사 진행

내년 3월 25일 특금법 시행을 앞두고 국내 암호화폐 거래소 업계가 ISMS 인증과 실명계좌 발급 심사를 진행 중인 가운데 에이프로빗이 ISMS 인증을 획득, 플라이빗과 지닥과 함께 12월의 ISMS 막차에 간신히 탑승했다.

29일 KISA에 따르면 에이프로빗(운영, 에이프로코리아)은 ISMS 인증번호(ISMS-KISA-2020-219)를 획득했다. 이로써 특금법 시행을 앞두고 ISMS 인증을 완료한 11번째 거래소가 됐으며, 다른 거래소와 마찬가지로 실명계좌 발급 심사를 준비할 수 있게 됐다.

지난해 한빗코만 ISMS를 획득했던 것과 달리 올해는 코로나19 여파 속에서도 5곳의 거래소가 ISMS를 획득했다. 이를 두고 관련 업계에 따르면 내년부터 거래소를 운영하는 회사는 '거래소 전용 ISMS 인증 심사'가 진행될 예정이다.

지난 11월 KISA는 암호화폐 거래소를 위한 세부항목 56개를 추가, 381개의 점검항목으로 인증심사를 진행하겠다고 밝힌 바 있다. 

이전에 ISMS 인증번호를 부여받은 거래소는 325개 항목에 불과하지만, 2021년은 381개다. 특히 '월렛'을 중점적으로 심사할 정도로 거래소의 안정성에 초점이 맞춰졌다. 이는 금융보안원이 금융회사와 전자금융업자를 대상으로 심사하는 ISMS 인증 항목 384개보다 3개 적을 뿐 금융기관에 준하는 심사 기준이다. 

ISMS 인증번호를 획득한 거래소는 실명계좌 발급 심사만을 앞두고 있지만, 2021년에 ISMS 심사를 진행하는 거래소는 난관에 봉착했다. 코로나19 여파로 ISMS 현장 심사가 불투명하고, 내년부터는 거래소 전용 ISMS 인증심사를 거쳐야 한다.

특금법 시행 후 기존 사업자의 6개월 유예기간에 ISMS 인증획득과 실명계좌 발급까지 완료해야만 9월 이후에 정상 영업할 수 있어 시간이 촉박하기 때문이다.

내년 3월 특금법 시행 앞두고 ISMS 인증 박차｜금융권 실명계좌 발급 심사 우선권 확보

지닥(GDAC)도 ISMS 인증을 획득, 실명계좌 발급 심사를 받기 위한 첫 번째 조건을 달성했다.

내년 3월 특금법 시행을 앞두고, 국내 암호화폐 거래소 업계가 실명 계좌 발급 심사를 위한 선결 조건인 'ISMS 인증 번호' 획득에 총력을 기울인 가운데 ISMS 인증을 획득한 거래소가 됐다.

10일 관련 업계에 따르면 암호화폐 거래소 지닥(GDAC)을 운영하는 피어테크는 이달 초 현장 심사를 진행했으며, 최초심사를 통과해 인증서 수령을 앞두고 있다.

이후 인증서 수령과 KISA의 인증현황 게시판에 피어테크의 ISMS 인증번호가 공개되는 순간부터 홍보가 가능해진다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법 )에 따르면 인증번호가 부여되는 순간부터 인터뷰와 미디어와 취재, 업체가 운영하는 커뮤니티와 보도자료 배포 등에 인증의 내용을 표시할 수 있다.

특히 인증번호가 부여되기 전 심사의 주체인 피어테크가 홍보를 위한 자료를 배포할 시 제47조 제9항에 따라 3천만 원 이하의 과태료가 부과될 수 있다.

당초 지닥은 코인제스트, 코인빗, 캐셔레스트와 함께 2019년 인증 의무사업자로 지정돼 2020년 10월 31일까지 인증번호를 획득했어야 하는 사업체였다. 하지만 지닥은 2월 소명 자료를 제출해 의무대상으로 제외됐음에도 8월에 중간 진행 상황을 공유, 심사를 진행 중이라고 공식 입장을 밝힌 바 있다.

지난 3월 과기부와 KISA는 정부의 코로나19 확산에 따른 '고강도 사회적 거리두기'로 ISMS 심사와 관련된 일정을 2개월 연기한 바 있다. 또 지난 8일 수도권 거리두기 2.5단계로 격상되면서 수도권에 사업장 소재지로 등록된 거래소의 심사 일정도 차질을 빚을 것으로 보고 있다.

과기부 측은 심사를 요청한 사업체만 현장 심사원의 안전을 확보할 수 있는 곳만 심사를 검토 중이라는 설명만 있을 뿐 심사 진행과 연기 등에 관련된 입장을 내놓지 않고 있다. 이에 따라 KISA를 비롯한 3곳의 심사기관이 독자적으로 심사를 강행할 수도 없다.

현행법에 따르면 과기부·방송통신위원회·행정안전부가 정책기관으로, KISA와 금융보안원은 인증 기관, 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA), 개인정보호보협회(OPA) 등 3곳이 심사 기관이다.

예를 들면, 과기부가 인증 기관과 심사 기관을 지정할 수 있으며, 관련 자격증을 보유한 인증심사원이 인증심사를 진행하는 구조다.

이로써 지닥은 9번째 ISMS 인증번호를 획득해 실명 계좌 발급 심사를 위한 자격이 갖춰지면서 고팍스나 한빗코와 같은 출발선에 섰다. 더욱 코로나19 상황 속에서 현장 심사가 불투명한 가운데 사실상 유리한 고지를 선점해 후오비코리아나 포블게이트, 코인빗 등에 비해 한시름 덜게 됐다.

3단계 격상 시 모든 현장 심사 중단, 현재까지 일정 안내 공지 없어

오늘(8일) 코로나19 확산으로 사회적 거리두기 2.5단계가 시행된 가운데 국내 암호화폐 거래소 업계가 혼란에 빠졌다. 현재 시행 중인 2.5단계에서 방역 지침을 따르더라도 현장 심사 시 제약이 많고, 3단계로 격상될 경우 ISMS 인증 심사와 관련된 일정은 모두 중단되기 때문이다.

특히 내년 3월 특금법 시행을 앞두고, ISMS 인증 번호가 시급한 거래소에 일정 연기는 시간이 촉박하다. 기존 사업자를 대상으로 6개월의 유예 기간이 존재하지만, ISMS 인증번호를 획득해야만 금융권의 실명계좌 발급 심사를 진행할 수 있다는 조건 탓에 특금법 시행 전후로 영업에 차질을 빚을 것으로 보인다.

8일 과학기술정보통신부에 따르면 2.5 단계에서 적극적으로 신청을 요청한 암호화폐 거래소의 심사도 검토 중이다. 예년이라면 현장 심사를 진행하겠지만, 현 상황에서 현장에서 심사를 진행한 심사원의 안전이 확실하게 확보된 곳만 진행하겠다는 게 과기부의 설명이다.

KISA는 지난 3월 정부의 '강화된 사회적 거리두기' 연장으로 인증심사를 연기한다고 안내했지만, 2.5단계가 시행됐음에도 태도의 변화는 없다.

KISA 관계자는 "현재 분위기에서 ISMS 인증심사 연기에 대해 별도로 전달받은 사항은 없다"고 말했다.

올해 상반기도 사회적 거리두기 시행으로 현장 심사가 연기돼 일부 대학교, 병원, 거래소 등이 일정에 차질을 빚었으며, 2019년 ISMS 인증 의무 대상자로 8월 31일에서 10월 31일로 마감 시한을 연장한 바 있다. 그 결과 캐셔레스트는 2019년 ISMS 의무사업자의 마감 시한 전에 ISMS 인증을 획득했지만, 코인빗은 받지 못했다.

과기부 관계자는 "현재 상황을 지켜보고 있다. 일정 연기나 대체 심사 등 심사를 진행할 수 있는 모든 방법을 강구하고 있으며, 아직 일정 연기와 관련된 사항은 확정된 게 없다"고 말했다.

19년 ISMS인증 의무 대상자에 포함돼 10월 31일 시한 넘겨

코인빗이 ISMS 인증의무를 위반해 과태료(기준금액 3,000만 원) 및 시정조치 명령 대상이다. 

코인빗은 지난해 코인제스트, 캐셔레스트와 함께 '2019년 ISMS 인증 의무 대상자'로 지정된 거래소로 '심사 중'이라는 공식 입장 외에는 일련번호가 없다.

정보통신망법에 따르면 인증의무 대상자로 지정되면 이듬해 8월 31일까지 인증번호를 받아야 한다. 올해는 코로나19라는 특수한 상황을 고려해 두 달 연장된 10월 31일까지였지만, 캐셔레스트(9월 16일 획득)를 제외하고 코인제스트와 코인빗은 인증서를 발급받지 못했다.

지난해 9월 바른미래당 신용현 의원은 과학기술정보통신부가 제출한 자료를 토대로 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황'을 공개한 바 있다. 당시 코인제스트, 지닥, 코인빗, 캐셔레스트 등 4곳은 2020년 10월 31일까지 ISMS 인증을 획득해야 하는 '2019년 ISMS 인증 의무 대상자'로 지정됐지만, 캐셔레스트를 제외한 거래소는 감감 무소식이다.

이후 지닥은 KISA와 과기부에 소명 자료를 제출해 '의무 대상자'에서 제외됐지만, 내년 3월 특금법 시행 전후로 ISMS를 획득해야 한다.

과기부 관계자는 "의무 대상자가 인증 결정을 받지 못했다면 과태료 부과와 시정조치 명령 대상이다. 의무 대상이라면 조만간 공문을 발송할 예정이다"라며 "과태료 부과 대상이어도 ISMS 인증 심사시 불이익은 없다. 어차피 의무 대상자를 떠나 국내에서 영업 중인 거래소에게 ISMS 인증은 특금법에 명시됐으므로 받아야 한다"고 말했다. 

한국인터넷진흥원 "협의가 이뤄진 사항 아니다. 의무대상자로 10월 31일까지 인증서 발급받아야 한다"

국내 암호화폐 거래소 코인빗이 ISMS 인증 심사와 관련, 한국인터넷진흥원(KISA)과 협의하지 않은 심사 일정을 공개해 파장이 예상된다. 지난달 29일 코인빗이 밝힌 '특금법 준비 과정 안내'와 관련해 KISA가 정면 반박한 것. 

코인빗이 11월 정보보호 관리체계(ISMS) 현장 심사를 받겠다는 일정은 일방적인 주장이라는 게 KISA의 설명이다.

KISA 측은 코로나19 여파로 ISMS 운영 홈페이지 안내 공지와 별도로 신청기관에 이메일을 통해 '이행기한 2개월 연장'을 안내한 것 외에는 별도의 협의는 없었다고 강조했다.

21일 KISA는 <본지>에 1차 설명 자료를 보내 "해당 기업이 게시글에서 공지한 일정은 KISA와 협의된 사항은 아니며, 기존(8월 31일) 기한에서 코로나19로 인한 인증이행기한 2개월 연장 포함해 2019년 의무대상인 경우 2020년 10월 31일까지 인증서를 발급받아야 한다"라고 밝혔다.

또 2차 설명 자료는 <본지>가 KISA에 요청, KISA는 과기부에 요청하고, 과기부에서 확인한 내용을 KISA가 취합해 <본지>에 전달하는 일련의 팩트 체크를 거쳤다.

과기부는 KISA를 통해 <본지>에 "(코인빗)이 포함된 나머지 3개 기업의 경우, 현재는 2019년 의무대상으로 판단하고 있다. 해당 기업이 '2019년 의무대상자가 아니다'라는 내용으로 연락이 온 적이 없으며, KISA가 '의무대상이 아니다'라는 메일을 보낸 적도 없다"고 답변했다. 

즉 코인빗이 포함된 3곳의 거래소를 '2019년 ISMS 의무대상자'로 판단해 10월 31일까지 인증을 받아야 하는 기업이라는 게 과기부의 입장이다.

코인빗은 7월 29일 '렉스(LEX) 락업(Lock Up) 연장 및 특금법 준비 과정 안내'를 통해 ISMS와 관련해 다음과 같이 공지한 바 있다.

▲8월 정보보호 관리체계(ISMS) 심사를 위한 최종 보안점검 및 추가 작업 진행 
▲9월 정보보호 관리체계(ISMS) 심사 신청 및 실명 확인 입‧출금 계좌 발급 진행 
▲10월 정보보호 관리체계(ISMS) 사전 심사 
▲11월 정보보호 관리체계(ISMS) 현장 심사

코로나19 여파로 두 달 연기 영향｜지닥(피어테크)은 2019년 ISMS 의무 대상자 제외돼

 
국내에서 영업 중인 암호화폐 거래소 중 코인제스트와 코인빗, 캐셔레스트 등 3곳은 '2019년 ISMS 인증의무 대상자'로 10월 31일까지 무조건 정보보호관리체계(ISMS, Information Security Management System) 인증을 받아야 한다. 

올해 상반기 인증을 받은 펄어비스(ISMS-KISA-2020-112)처럼 KISA의 심사를 통과한 'ISMS-KISA-2020-XXX'라는 인증번호를 받지 않으면 3천 만 원 이하의 과태료가 부과된다.

지난 6월부터 <본지> 트래킹 팀은 최근 3년간 ISMS 인증 현황 기업을 전수 조사하면서 '암호화폐 거래소 ISMS 인증 현황과 사후 관리' 부문에서 미흡한 점을 토대로 KISA와 과학기술정보통신부에 확인하는 교차 검증을 진행 중이다.

21일 <본지>가 KISA에 '2019년 ISMS 인증의무 대상자'의 기준과 마감 시한' 확인 결과 KISA와 과기부는 코인제스트·코인빗·캐셔레스트는 2019년 의무대상으로 판단하고 있다. 또 지닥은 지난해 제외 검토를 통해 올해 2월에 의무대상에서 제외했다.

<본지>는 지난해 9월 바른미래당 신용현 의원이 공개한 '가상통화 취급업소 ISMS 인증의무 대상자 인증 현황' 리스트를 토대로 사실 확인을 거쳤으며, 지닥을 제외한 3곳의 거래소는 10월 31일이 ISMS 인증 마감 시한이다. 

당초 8월 31일이었지만, 코로나19 이슈로 이행기간을 2개월 연장해 10월 31일로 확정된 것. 

KISA 측은 코로나19 예방 및 확산 방지를 위하여 인증 이행기한이 2020년 12월 이내인 경우 이행기한을 2개월 연장하도록 했으며, 2019년 의무대상자의 경우 2020년 10월 31일까지 인증서를 발급받으면 된다고 설명했다. 

참고로 인증이행기간은 최초심사 대상자의 경우는 인증심사를 받고, 인증위원회 상정하여 인증서 취득을 완료하는 기한을 의미한다. 거래소 3곳은 갱신이 아닌 최초심사 대상이다.

코인제스트·코인빗·캐셔레스트 등 3곳 거래소와 관련해 KISA 측은 <본지>에 3개 기업에서 '2019년 의무대상자가 아니다'라는 내용으로 연락이 온 적은 현재까지 없으며, "의무대상이 아니다"라는 메일을 보낸 적도 없다"고 답했다.

대신 KISA는 올해 3, 4월 초 '정보보호관리체계' 홈페이지의 알림마당을 통해 <코로나19 예방 및 확산방지를 위한 정보보호 관리체계(ISMS) 인증심사 연기 안내> 공지와 별도로 신청기관에 이메일을 통해 안내했다. 

결국 코로나19 여파로 8월 31일에서 2개월 연장된 것에 불과할 뿐 이들이 인증번호를 받아야하는 의무는 여전하다.

이와 별도로 ISMS 인증을 2회 연속으로 획득한 서울성모병원(ISMS-KISA-2020-120)은 최초심사 대상이 아님에도 코로나19 이슈와 인증범위를 고려하더라도 심사 연기 이후 ▲내·외부 전문컨설팅 등 6개월 준비 및 운영기간을 거쳐 ▲ISMS 전문평가단 방문 평가, 5월 11일~15일 ▲7월 29일 최종 보고서를 통해 2차 인증 획득이 확정됐다.

서울성모병원 측은 의료정보시스템(EMR, OCS) 및 홈페이지 서비스 운영’의 전 범위를 대상으로 ISMS 인증기준 항목에 대한 문서검토, 안전조치, 자산관리, 관련 부서 인터뷰 및 현장 실사 등 다양한 방법으로 평가가 진행됐다고 설명했다.

이를 토대로 서울성모병원은 적어도 지난해 10월부터 ISMS 인증을 준비했으며, 3월에 예정됐던 방문 심사는 5월에 진행해 2개월 뒤에 인증을 통과했다는 산술적인 계산이 나온다. 또 거래소가 아닌 IT 업계에서 '2019년 의무대상자'로 지정된 A 업체는 최초심사 대상자로 7월에 인증번호를 받았다.

유독 국내 암호화폐 거래소 업계가 ISMS 인증 준비를 위해 언론플레이로 시간 끌기를 하고 있다는 지적이 나오는 이유다.

과기부, 코인제스트 외 3개 거래소 ISMS 인증의무 대상자 지정, 미인증시 3,000만 원 이하 과태료

국내 암호화폐 거래소 코인제스트·코인빗·지닥·캐셔레스트의 ISMS 인증 시한이 24일 남았다. 이들은 지난해 과학기술정보통신부가 지정한 ISMS 인증의무 대상자로 오는 31일까지 '인증번호'를 받아야 한다.

이들은 고팍스나 한빗코처럼 의무대상이 아님에도 자율적으로 인증을 획득한 거래소와 다르다. 과기부가 지목한 거래소 4곳은 인증번호를 받지 못하면 3,000만원 이하 과태료가 부과되며, 향후 암호화폐 거래소 사업 진행에 있어 무형의 불이익이 우려되는 상황이다.

7일 과기부, KISA 등에 따르면 코인제스트·코인빗·지닥·캐셔레스트는 의무 대상자로 ISMS와 ISMS-P 인증 등 둘 중에 하나를 선택해 8월 31일까지 인증을 받아야하며, 인증을 받지 않으면 3천 만 원 이하의 과태료가 부과된다.

2017년 12월 13일 국무조정실장 주재 기재부, 법무부, 금융위원회, 과기정통부, 공정거래위원회, 방송통신위원회 등 관계부처 차관회의에서 암호화폐 거래소 13곳을 대상으로 ▲전자상거래법상 통신판매업 신고 대상에 해당되는지 여부 등을 확인 ▲ 사업자가 사용하는 약관 규정 중 불공정한 내용이 있는지 점검(공정위) 등을 현장 조사를 진행했다.

그 결과 접근통제장치 설치·운영, 개인정보의 암호화 조치 등 관리적·기술적 보안조치가 전반적으로 미흡한 것으로 나타나면서 관계부처 중 1주일 뒤(12월 20일) 과기부가 '조속히'라는 표현을 쓸 정도로 빗썸과 업비트, 코빗과 코인원을 '2018년 ISMS 의무 대상자'로 통보했다. 

그로부터 1년 뒤 ▲업비트, 2018년 11월 19일 ▲코빗, 2018년 12월 11일 ▲코인원, 2018년 12월 27일 ▲빗썸, 2018년 12월 27일 등이 ISMS 인증번호를 받았다. 

ISMS 인증 의무대상자의 기준은 매출액 100억 원 이상, 일일 평균 방문자 수 100만 이상의 대상기업(정보통신망법 제47조)이다. 이에 따라 2019년 의무 대상자인 코인제스트·코인빗·지닥·캐셔레스트 등도 기존 거래소 4곳과 기준이 동일하다.

하지만 코인빗은 의무 대상자임에도 '코로라19' 여파로 9월에 심사를 신청하겠다고 밝혀, 국내 암호화폐 업계는 동요하고 있다. 다른 거래소도 동일한 상황이지만, '8월 31일' 시한을 넘겨 심사를 신청하겠다는 입장을 밝힌 곳은 없기 때문이다.

코인빗 측은 9월에 ISMS 심사를 신청하고, 10월에 사전 심사, 11월에 현장 심사를 받겠다고 설명했다.

코인빗 관계자는 "ISMS 인증 심사 대상자에게 내려온 공문의 내용처럼 코로나19 예방과 확산방지를 위한 강도 높은 사회적 거리두기 권고사항에 따라 예비점검, 현장심사, 보완조치 점검 등의 모든 현장방문이 연기됐으나 전담팀을 구성해 준비 중이다"라고 말했다.

KISA에 따르면 지난달 29일 SK인포섹과 한국중부발전이 KISA로부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 번호를 받은 이후 8월에 인증번호를 기업이나 기관은 없다.

의무 대상자가 스스로 기한을 넘겨 심사를 신청하겠다는 입장을 밝힌 것에 대해 KISA 관계자는 "현재 심사와 관련해 접수된 곳이나 진행 상황은 공개할 수 없다"고 말했다.

<본지>가 2020년 상반기 ISMS와 ISMS-P 인증번호를 부여받은 기업 중 익명을 요구하는 조건으로 심사기간을 말해준 곳의 답변은 다음과 같다. 

"심사 신청 후 인증 번호를 받기까지 3개월이 소요됐다"

KISA 측은 ISMS인증 의무대상자 확인과 책임은 기업(기관)에 있으므로 스스로 의무대상 여부를 확인하여 인증을 취득한 필요가 있다고 설명한다. 즉 코인빗은 스스로 확인한 것이 아닌 과기부가 지목한 '의무 대상자'라는 점이다.

KISA 관계자는 "특정 업종을 차별하거나 특별히 신경써서 우선적으로 심사하지 않는다. 의무 대상자나 자율 인증 신청자도 같은 기준에서 심사를 진행한다"고 말했다.

문제는 올해 상반기 인증번호를 받은 기업 중에는 '의무 대상자'가 포함됐다는 점이다. 이는 코인빗이 밝힌 것과 차이가 있어 적잖은 파장이 예상된다.

업계 동업자 의식 형성해 실시간 모니터링으로 동결 조처

업비트 580억 해킹 사태로 국내 암호화폐 거래소 업계가 긴장하고 있다. 글로벌 암호화폐 거래소 바이낸스가 해킹 이더리움을 원천 차단하겠다고 공표한 이후 국내서 영업 중인 거래소들도 보안 강화에 나서고 있다.

특히 업비트를 포함한 국내 4대 거래소는 모니터링과 보안 강화와 자산 관리를 위한 보안 솔루션을 설명, 불안한 시장을 잠재우기 위해 동참하고 있다.

28일 빗썸, 코인빗, 코인원 등에 따르면 자산 보관·관리 안내와 함께 업비트에서 유출된 이더리움을 실시간으로 모니터링하고 있다.

코인빗 관계자는 "입금되는 모든 코인에 대해 핫월렛이 아닌 콜드월렛에 99% 이상 보관하여 운영 중이다"라며 "이번 업비트 사태에 적극 협조해 입금을 철저히 감시할 것"이라고 말했다.

코인원 관계자도 "이상출금과 관련된 주소에 대해 모니터링 중이며, 의심거래에 대해서도 암호화폐 자동출금제한 조치를 취하고 있다"며, "불법 자금 유출을 사전에 방지하기 위해 실시간 모니터링을 진행 중이다"라고 말했다.

한빗코는 자산 70% 이상을 콜드월렛에 보관 중인 암호화폐는 임직원 다수의 승인으로 가능하다는 것이 회사 측의 설명이다.

비트소닉 측은 내부 지갑 시스템 모니터링 외에도 문제가 야기된 이슈 지갑 또한 철저하게 모니터링을 진행하고 있다고 설명했고, 유아이오는 업비트 사태로 이더리움 입금을 무기한 중단했다. 

후오비 코리아 관계자는 "현재 해당 이상 거래 자금에 대한 모니터링이 진행 중이며, 후오비 코리아로 입금 시 동결 조처함은 물론 해당 거래소에 적극적으로 협조할 것"이라고 말했다.