페이지상단으로이동

[FOCUS] “ISMS, 최소한의 안전장치…투자자 보호는 기본”

    • 김수찬 기자
    • |
    • 입력 2020-03-13 18:41
▲사진출처=픽사베이

【한국블록체인뉴스】 특정금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 통과로 가상자산 사업자는 정보보호관리체계(ISMS) 인증과 실명 확인 입출금 계정 서비스(가상자산 거래 실명제) 등의 의무를 지게 됐다. 일부 거래소를 비롯한 가상자산 관련 사업자들은 ISMS 인증 획득에 우려의 목소리를 내고 있다. 중소형 사업자의 경제적·시간적 부담이 매우 커질 수 있다는 이유다. 일부에서는 ISMS 인증 자체가 거대 기업만을 살리기 위한 장치라고 지적한다. 한국블록체인뉴스는 건국대학교 정보통신대학원 정보보안학과 블록체인 전공 박진하 교수를 만나 ISMS에 대한 정확한 설명을 들어봤다. 박 교수는 다년 간 ISMS 컨설팅을 수행했고, 현재는 블록체인 기업 비브릭에서 근무 중이다.


◇ “소요 시간·비용 과대 산정…실명 계좌 필요 사업자만 획득”

한국인터넷진흥원(KISA)의 ISMS 인증은 정보통신망의 안정성 확보를 위한 관리적·기술적·물리적 보호조치 등 종합적 관리체계에 대한 인증 제도이자 글로벌 보안지수의 표준 증표다. 특금법에 명시된 대로 ISMS 인증을 보유하지 않은 기업은 금융정보분석원(FIU)에서 신고를 거부당할 수 있다.

일부 가상자산 사업자들은 ISMS 인증 절차에 들어가는 비용과 시간이 만만치 않다고 불만을 표출하고 있다. 소규모 가상자산 업체가 감당할 수 없다며 사실상 대기업만이 살아남을 것이라고 토로했다.

박진하 건국대 교수는 업계에서 전반적으로 ISMS에 대해 오해하고 있는 부분이 있다고 했다. ISMS 인증을 위해 걸리는 시간과 비용이 과대하게 산정됐다는 것이다.

박 교수는 “ISMS 사전 준비(컨설팅) 기간과 발급까지 포함해 1년 이상이 걸릴 수 있다는데 이는 잘못된 정보다. 대기업 그룹사의 경우 ISMS 전문 컨설턴트 8~9명의 인력이 투입되면 서버·시스템 등 IT 담당자를 상대로 인터뷰를 진행한다. 모든 직원을 대상으로 교육하더라도 3개월 정도면 끝난다. 중소 거래소는 대기업 그룹사보다 규모가 작기 때문에 30~45일이면 사전 준비가 끝날 것”이라고 했다.

이어 “전문 인력 1명당 1000만 원 내외의 비용이 청구된다. 가상자산 거래소의 규모가 작은 만큼 인력이 투입되는 규모도 작아질 것이다. 따라서 비용 역시 훨씬 적어질 것”이라고 말했다.

ISMS 인증을 얻기 위해 모든 사업자가 나설 필요가 없다고도 했다.

박 교수는 “시행령을 통해 가상자산 사업자의 범위가 명확해져야 알겠지만, 실명계좌가 필요한 사업자(거래소)만 획득하면 된다. 커스터디(수탁) 업체가 은행과 계약하고 가상계좌를 발급받아야 하는 것은 아니지 않은가. 특금법 대상은 맞지만, ISMS를 획득할 필요는 없다”고 밝혔다.

▲사진출처=픽사베이

◇ “ISMS, 보안 보증 아니다…외국계 거래소, 획득 힘들 것”

ISMS는 보안을 보증하는 시스템이 아니다. 종합적 관리체계에 대한 인증 제도이자 글로벌 보안지수의 표준 증표이긴 하지만, 해킹에서 자유로울 수는 없다.

박 교수는 “해킹을 100% 막을 수 있는 보안은 없다. ISMS 역시 보안을 완벽히 보증하지 못한다. 다만, ISMS를 인증을 받았다는 것은 투자자와 기업을 보호하기 위해 최소한의 안전장치가 갖춰졌다는 의미”라고 짚었다.

그는 “보안 인프라를 구축했다는 것만으로도 진정성이 확인될 수 있고 사업의 영위성을 강조할 수 있다. 비용과 시간 등을 문제 삼아 ISMS 인증이 어렵다는 주장은 받아들이기 힘들다. 수십억 원의 고객 자산을 다루면서 보안을 구축하지 않겠다는 것은 말도 안 된다”고 꼬집었다.

후오비나 OKEX 등 외국계 가상자산 거래소의 ISMS 획득은 힘들어질 전망이다.

박 교수는 “ISMS의 인증 기준과 적합성 평가 항목에는 데이터 접근자 권한에 대한 내용이 있다. 외국계 본사가 해당 시스템에 접근할 수 있다면 이를 확인하기 위해 KISA가 본사 시스템과 접근 방법을 파악해야 한다. 그러나 KISA가 해외 본사까지 가기는 어려울 것”이라고 설명했다.

박 교수는 기업 규모를 고려한 시행령이 갖춰져야 할 것이라고 조언했다.

“뚜렷한 가이드라인 없는 상태에서 ISMS 인증이 강제되는 느낌을 받아 많은 부담감을 느끼는 것 같다. ISMS로 업계 전반에 긍정적인 효과를 기대할 수는 있겠으나, 비즈니스의 규모나 성격에 따라 차등화 하는 방법을 구상해보면 어떨까 싶다"

그는 "필요하다면 적절한 영역을 모아서 새로운 가이드라인과 확인제도를 만들 수 있을 것"이라며 "업계에서 호소하는 비용이나 기간 영역에 대한 부분도 해소 가능하지 않을까 생각한다"고 덧붙였다.

그러면서 "소 잡는 칼이 잘든다고 해서 오리나 닭을 잡을 때까지 쓰는 것은 적절치 않다"고 비유했다.

김수찬 기자 capksc3@hkbnews.com

김수찬 기자 | capksc3@hkbnews.com

닫기