리뷰10K

정보통신망법과 정보보호산업법이 엇박자 내고 있어

지닥(GDAC)의 해킹 사고는 특금법 시행 이후 발생한 첫 사례로 기존 규제 방식을 보완할 필요가 있다는 지적이 나오고 있다. 

단순히 신고 수리를 위한 ISMS 인증번호 획득에 따른 실명 계좌 발급으로 이어지는 과정에서 ISMS 심사를 강화, 자금세탁 방지의 책무만큼 일반적인 웹사이트를 운영하는 사업자와 다른 노선으로 의무화 조항을 신설해야 한다는 의견이 설득력을 얻고 있다.

17일 과학기술정보통신부, 한국인터넷진흥원 등에 따르면 정보보호 공시 의무업체 598 곳(2022년 기준)중에서 국내 거래소 업계는 두나무가 유일하며, 나머지 35곳(금융정보분석원에 신고 수리된 사업자)는 해당하지 않는다.

정보보호 공시는 인터넷서비스제공자, 인터넷데이터센터, 상급종합병원, 인터넷기반자원공유컴퓨팅 서비스 제공자, 정보보호최고책임자 지정 의무기업 중 매출액 3천억원 이상 및 일일 평균 이용자수 100만명 이상 사업자가 의무공시 대상이며, 나머지는 자율공시로 진행된다.

의무공시 업체가 공시를 하지 않는다면 최대 1천만원 이하의 과태료 부과, 자율공시 업체가 참여하면 ISMS 인증 심사시 30% 할인 혜택이 주어진다.

국내 거래소 업계에서 의무공시 업체는 두나무이며, ▲빗썸 ▲고팍스 ▲후오비코리아 ▲코어닥스 등 4곳은 자율공시로 정보보호 투자, 인력, 인증, 활동 현황을 공개했다. 특히 자율공시 대상임에도 고팍스는 2018년부터 공시 현황을 공개한다.

빗썸의 경우 2021년만 공시하고, 2022년은 생략했다. 이에 대해 빗썸 관계자는 "해당 공시는 의무사항이 아니며, 특별한 이유가 있어서는 아니다. 다만, 당사는 정보보호를 위해 ISMS-P 인증 신규 획득 및 ISO 27001, 27701 등 4개의 정보보호 인증을 획득/갱신하며 보안수준 향상에 노력하고 있다"고 전했다.

거래소 업계는 ISMS 심사비 할인이 ISO 인증 후 ISMS를 획득할 때 할인 비율과 비슷하고, 실질적인 혜택이 없어 자율공시의 매력이 떨어진다고 설명한다.

이에 비해 바스프(가상자산사업자) 전용 ISMS가 금융보안원이 심사하는 금융권 수준의 심사항목과 신규 사업자의 진입 장벽 해소를 만든 예비 인증도 6개월에 국한되는 등 정보보호 공시를 거래소 업계에 적용하려면 무리라는 지적도 나온다.

정보보호 공시는 ▲사업분야(기간통신사업자, 집적정보통신시설, 상급종합병원, 클라우드컴퓨팅 서비스 제공자) ▲매출액 3,000억 이상 ▲하루 이용자 100만 명 이상 등은 의무대상자다. 이를 ISMS 의무인증 대상인 ▲하루 이용자 100만 명 이상 ▲ISP와 IDC ▲상급종합병원, 학교(재학생 1만 명 이상) 등 기준과 비교하면 일부 구간에서 중복된다.

거래소가 실명계좌 발급을 위한 ISMS 인증을 받아도 매출과 이용자 수가 되지 않는다면 정보보호 공시 의무대상자가 아니다. ISMS는 정보통신망법, 정보보호 공시는 정보보호산업법에 따라 적용되는 탓에 틈이 생겨버린 셈이다.

그래서 공시 의무대상 선정 기준에서 하나만 해당하더라도 바로 의무공시 대상이라는 점에서 두나무가 매출과 사용자 수로 선정된 것이다.

그 결과 특금법에 따라 가상자산사업자 신고 수리를 위해 지닥은 ISMS 일련번호를 획득했지만, 사업분야나 매출, 사용자 수가 의무대상이 아닌 탓에 정보보호 공시 의무대상이 아니었다. 즉 영업을 위한 최소한의 조건만 충족하고 사업을 영위할 뿐 업계 스스로 '법을 지키려고 해도 법이 없다'는 논리를 펼치는 이유다.

정보통신망법 위반 사실 없다고 항변한 피어테크

피어테크는 지난 9일 오전 7시에 발생한 지닥의 핫월렛 해킹 발생과 관련, KISA 해킹 신고보다 수사기관이 접수가 빨랐다고 밝혔다. 그럼에도 사건 발생 직후 신고가 늦어졌으며, 정보통신망법상 '즉시'에 해당했음에도 문제가 없다고 주장했다.

12일 피어테크에 따르면 내외경제TV에 해킹 신고 과정에서 오해가 있었다며 반론을 요청했으며, 내외경제TV는 피어테크의 입장을 반영한 후속 보도를 이어간다.

피어테크 측은 ▲일요일(9일) 수사기관 접수 ▲월요일(10일) 오전 10시 KISA 신고 등 초동 대처에 집중했다고 설명했다. 그러나 지난 8일 최초 거래소 지갑에서 탈취가 시작된 시각에 대해서는 함구했다.

대신 피어테크는 내외경제TV에 수사 기관 방문 전 '사이버 수사대'에 신고한 캡처 내역을 제공했으며, 지난 11일 '지닥, 해킹 신고 골든타임 놓쳤지만 사고 수습 총력' 보도에 언급된 일요일에 신고할 수 없었다는 설명은 오해였다고 강조했다.

일각에서는 피어테크의 억울함을 공감하면서도 초동 대처가 미흡했고, 특히 특금법 시행 이후 금융정보분석원에 신고 수리가 완료된 바스프의 첫 번째 사고 사례를 들어 촉각을 곤두세우고 있다.

ISMS 심사 인증 기관 한국인터넷진흥원, KISA의 상급 기관인 과기부의 정보통신망법 즉시 신고 여부, 금융정보분석원의 실사 이후 발생한 사고 등으로 미뤄 실명계좌 발급 1순위로 꼽혔던 피어테크의 사후 수습에 따라 거래소의 명운이 걸려 있다는 관측이 지배적이다.

내년 3월 특금법 시행 앞두고 ISMS 인증 박차｜금융권 실명계좌 발급 심사 우선권 확보

지닥(GDAC)도 ISMS 인증을 획득, 실명계좌 발급 심사를 받기 위한 첫 번째 조건을 달성했다.

내년 3월 특금법 시행을 앞두고, 국내 암호화폐 거래소 업계가 실명 계좌 발급 심사를 위한 선결 조건인 'ISMS 인증 번호' 획득에 총력을 기울인 가운데 ISMS 인증을 획득한 거래소가 됐다.

10일 관련 업계에 따르면 암호화폐 거래소 지닥(GDAC)을 운영하는 피어테크는 이달 초 현장 심사를 진행했으며, 최초심사를 통과해 인증서 수령을 앞두고 있다.

이후 인증서 수령과 KISA의 인증현황 게시판에 피어테크의 ISMS 인증번호가 공개되는 순간부터 홍보가 가능해진다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법 )에 따르면 인증번호가 부여되는 순간부터 인터뷰와 미디어와 취재, 업체가 운영하는 커뮤니티와 보도자료 배포 등에 인증의 내용을 표시할 수 있다.

특히 인증번호가 부여되기 전 심사의 주체인 피어테크가 홍보를 위한 자료를 배포할 시 제47조 제9항에 따라 3천만 원 이하의 과태료가 부과될 수 있다.

당초 지닥은 코인제스트, 코인빗, 캐셔레스트와 함께 2019년 인증 의무사업자로 지정돼 2020년 10월 31일까지 인증번호를 획득했어야 하는 사업체였다. 하지만 지닥은 2월 소명 자료를 제출해 의무대상으로 제외됐음에도 8월에 중간 진행 상황을 공유, 심사를 진행 중이라고 공식 입장을 밝힌 바 있다.

지난 3월 과기부와 KISA는 정부의 코로나19 확산에 따른 '고강도 사회적 거리두기'로 ISMS 심사와 관련된 일정을 2개월 연기한 바 있다. 또 지난 8일 수도권 거리두기 2.5단계로 격상되면서 수도권에 사업장 소재지로 등록된 거래소의 심사 일정도 차질을 빚을 것으로 보고 있다.

과기부 측은 심사를 요청한 사업체만 현장 심사원의 안전을 확보할 수 있는 곳만 심사를 검토 중이라는 설명만 있을 뿐 심사 진행과 연기 등에 관련된 입장을 내놓지 않고 있다. 이에 따라 KISA를 비롯한 3곳의 심사기관이 독자적으로 심사를 강행할 수도 없다.

현행법에 따르면 과기부·방송통신위원회·행정안전부가 정책기관으로, KISA와 금융보안원은 인증 기관, 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA), 개인정보호보협회(OPA) 등 3곳이 심사 기관이다.

예를 들면, 과기부가 인증 기관과 심사 기관을 지정할 수 있으며, 관련 자격증을 보유한 인증심사원이 인증심사를 진행하는 구조다.

이로써 지닥은 9번째 ISMS 인증번호를 획득해 실명 계좌 발급 심사를 위한 자격이 갖춰지면서 고팍스나 한빗코와 같은 출발선에 섰다. 더욱 코로나19 상황 속에서 현장 심사가 불투명한 가운데 사실상 유리한 고지를 선점해 후오비코리아나 포블게이트, 코인빗 등에 비해 한시름 덜게 됐다.