신규 가상자산 사업자 길 터준 ISMS 예비인증…"현장선 혼란"
5일부터 ISMS 예비인증 심사 신청 접수 시작
"현장, ISMS 요구 조건과 불일치" 주장도
- 박소은 기자
(서울=뉴스1) 박소은 기자 = 신규 가상자산 사업자의 시장 진입을 돕기 위해 정보보호 관리체계(ISMS) 예비 인증이 도입됐지만, 여전히 현장의 상황을 반영하지 못하고 있다는 지적이 나온다.
4일 업계에 따르면 가상자산 산업에 진입하려는 사업자들이 ISMS 예비 인증 준비에 난항을 겪고 있다.
인증 요건상 전산실 등 물리적 시설의 점검이 요구되는데, 인증을 준비 중인 사업자들의 일부가 물리 서버가 아닌 클라우드 서비스를 이용하고 있어서다. 더불어 신규 사업자 대부분이 스타트업에 해당하고, 공유 오피스를 거점으로 두고 있는만큼 시험운영 환경 점검 과정에서 난항이 예상된다는 것이다.
◇특금법-정보통신망법의 충돌…예비 ISMS 인증으로 신규 사업자 길 텄다
ISMS 예비 인증은 현행법이 신규 가상자산 사업자의 시장 진입을 가로막고 있다는 지적에 따라 도입됐다. 특정금융정보법(특금법)상 가상자산 사업자의 영업을 위해서는 ISMS 인증이 필수다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)상 과학기술정보통신부와 한국인터넷진흥원(KISA)으로부터 ISMS 인증을 받기 위해서는 최소 2개월 이상의 서비스 운영 실적이 요구된다.
특금법에 따라 ISMS 인증을 받으려 해도 서비스 운영 실적이 없어 ISMS 심사 요청 조건을 충족하지 못하고, 정보통신망법에 따라 요건 충족을 위해 서비스를 운영할 경우 미등록 영업 업체로 간주돼 처벌을 피할 수 없는 것이다.
특금법이 시행되기 전인 지난해 7월부터 이와 같은 지적들이 이어져왔고, 이후 9월 국무조정실과 과기부·KISA·금융위·금감원이 모여 관계기관 협의를 거쳤다. 현행법이 신규 가상자산 사업자의 시장 진출 기회를 박탈하고 있다는 공감대가 모여 올해 7월 ISMS 예비인증 특례가 도입됐다.
신청자들은 ISMS 예비인증 이후에도 본인증을 취득해야 한다. 가상자산 사업자들은 ISMS 예비인증을 취득한 3개월 내에 FIU에 신고 접수하고, 신고 완료 후 다시 6개월 내에 본인증을 취득해야 한다.
과기정통부에 따르면 오는 5일부터 1차 신청서 접수가 시작된다. 마감일은 따로 없고 ISMS 예비인증을 필요로 하는 기업은 5일 이후 언제든 신청서를 접수할 수 있다. 다만 사업자가 ISMS 예비 인증 심사 대상에 해당하는지 확인해달라는 예비점검 접수 마감일은 23일까지다.
가상자산 업계 관계자는 "이전까지는 신규 사업자가 등장하기 어려워 기존에 자격을 획득한 거래소의 몸값이 올라가고, 이를 중개하는 브로커가 판치기도 했다"라며 "(ISMS 예비인증으로) 진입 문이 열리면 병폐가 다소 해소되지 않겠나"라고 전망헀다.
◇공유 오피스에 DB?…과기정통부 "시스템 운용 상황 반영할 것"
접수 일자가 다가옴에 따라 ISMS 예비 인증 준비에 돌입한 기업들 사이에서는 현장과 제도 간 괴리를 좁혀야 한다는 목소리가 흘러나오고 있다.
과기정통부와 KISA의 예비인증 심사 원칙에 따르면 '인증 심사 시 인프라, 보안장비, 서비스 시연을 통한 심사가 가능해야'한다. 가상자산 사업자의 월렛이 월렛존이 분리돼있는지, 핫·콜드 월렛 비중을 지켜 보관하고 관련 내부규정이 마련돼있는지 필수적으로 살펴봐야 한다는 것이다. 특히 월렛룸 내 작업시 관련 책임자의 승인을 받아 코인 이관 절차, 감사인 동반 입장 등을 이행하고 있는지 현장 점검이 요구된다.
이외에도 망분리를 비롯해 DB 접근제어, 24시간 모니터링 및 비상대응 체계 점검을 진행한다.
가상자산을 활용한 투자업을 준비 중인 한 업체는 "공유 오피스에서 근무하는 경우 보호구역을 어떻게 관리해야 하는지, 소지품 제한이나 입회인을 어떻게 설정해야 하는지 모르겠다"라며 "ISMS 예비인증을 위해 공유 오피스에서 나와 사무실을 물색하는 중"이라고 토로했다.
감독 기관은 공유 오피스에 있는 경우라도 ISMS 예비인증 심사는 동일하게 진행한다는 입장이다. 자체 오피스 보유 여부, 클라우드 서버 사용 여부에 관계없이 실제 운용 상황을 들여다보겠다는 것이다 .
과기정통부 관계자는 "업체의 구체적인 환경을 봐야겠지만 물리적 서버 없이 클라우드를 이용하는 경우에도 해당 환경을 고려해 심사, 인증하고 있다"라며 "운용 환경을 고려해 그에 맞게 인증심사를 할 것"이라고 설명했다.
soso@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.