Home > 전체기사

ISMS 의무화 두달 앞으로! 국내 암호화폐 거래소 인증현황 진단

  |  입력 : 2021-01-13 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정금융정보법 개정안 3월 25일 시행되면 ISMS 인증 미획득 가상자산 사업자는 사업 신고 불가
현재 국내 암호화폐 거래소 8곳이 ISMS 및 ISMS-P 인증 획득해 유지중


[보안뉴스 이상우 기자] 오는 3월 25일, 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법) 개정안 시행을 앞두고, 가상자산 사업자가 정보보호 관리체계(ISMS) 인증을 획득했다는 소식도 이어지고 있다. 이번 개정을 통해 신설된 제7조(신고) 제3항에 1호에 따르면 정보보호 관리체계 인증을 획득하지 못한 사업자는 금융정보분석원장이 신고 수리를 거부할 수 있다고 명시한다. 즉, 암호화폐 거래소 등의 가상자산 사업자는 ISMS 인증 없이는 사업체를 운영할 수 없는 사실상 의무화가 된 셈이다.

[이미지=utoimage]


특정금융정보법에서 가상자산은 ‘경제적 가치가 있고, 전자적으로 거래 또는 이전될 수 있는 ’전자적 증표(혹은 이에 대한 권리)’로 정의하면서도 일부 경우는 예외로 두고 있다. 비트코인 등 암호화폐가 이러한 가상자산에 해당하며, 게임머니 혹은 아이템, 선불카드나 모바일 상품권 등의 전자화폐, 전자등록주식, 전자어음 등은 해당하지 않는다.

가상자산 사업자란 이러한 가상자산을 매도·매수·교환 및 이를 중개하는 행위, 이전 행위, 보관·관리 행위 등을 하는 사업자며, 이밖에 가상자산을 통한 자금세탁이나 테러자금조달 등의 우려가 있는 행위를 하는 사업자를 포함한다. 암호화폐 거래소나 암호화폐 지갑 서비스 등이 해당하며, 단순히 개인간 직거래를 알선하는 플랫폼이나 하드웨어 지갑 서비스의 경우 해당하지 않는다.

이에 해당하는 가상자산 사업자는 정상적인 영업을 위해 ISMS 인증을 의무적으로 받아야 한다. ISMS 인증이란 정보통신망법, 개인정보보호법 등을 근거로 기업이 정보보호를 위한 일련의 조치와 활동이 일정 기준을 충족하는지 인증하는 제도다. 여기에는 정보보호에 대한 인증인 ISMS와 개인정보보호 관리체계를 포함한 ISMS-P 인증으로 구분된다.

사업 종류나 규모에 따라 일부 사업자는 ISMS 인증을 의무적으로 받아야 한다. 전기통신사업법에 해당하는 △정보통신망 서비스 제공자(ISP) △집적정보통신시설 사업자(IDC) △의료법에 해당하는 상급종합병원 중 연 매출 또는 세입에 1,500억 원 이상인 병원 △고등교육법에 해당하는 전년도 말 재학생 수가 1만 명 이상이며 연 매출 또는 세입이 1,500억 원 이상인 학교 △정보통신서비스 부문 전년도 매출액이 100억 원 이상인 개인 또는 법인 △전년도 직전 3개월 정보통신서비스 일일 평균 이용자 수가 100만 명인 사업자 등이 해당한다. 여기에 특정금융정보법 개정으로 가상자산 사업자가 의무 대상자로 포함됐으며, 의무 대상자는 ISMS 혹은 ISMS-P 인증 중 하나를 선택할 수 있다.

한국인터넷진흥원은 가상자산 사업자 특성에 맞춘 심사기준도 새롭게 마련했다. 가상자산 사업자 특화 ISMS 인증은 관리체계 수립 및 운영에서 관리체계 기반 마련, 위험관리, 관리체계 운영, 관리체계 점검 및 개선 등 4가지 분야에서 16개 항목(세부항목 42개)을 점검한다. 이와 함께 보호대책 요구사항에서는 12개 분야 64개 항목(세부항목 192개)을 함께 점검하게 된다.

주요 내용을 살펴보면 관리체계 수립 및 운영 측면에서는 △정보보호 최고책임자(CISO) 및 개인정보보호 최고책임자(CPO) 지정 여부 △CISO, CPO 등에 임원급 권한 부여 여부 등이 포함돼 있다. 보호대책 요구사항에서는 △정보시스템에 대한 보호 △개인정보에 대한 암호화 정책 △임직원의 비밀 유지 여부 등을 점검한다.

현재 국내 주요 암호화폐 거래소는 특정금융정보법 개정 이전부터 ISMS 인증을 받아 운영하고 있는 곳이 상당수에 이른다. 스트리미(고팍스), 두나무(업비트), 코빗, 빗썸코리아(빗썸), 코인원 등은 지난 2018년 하반기부터 ISMS 인증을 받아 유지하고 있으며, 플루토스디에스(한빗코)는 2019년 중순부터 인증을 받았다. 한국디지털거래소(플라이빗)와 뉴링크(캐셔레스트)는 인증을 지난 2020년에 통과해 유지 중이다.

암호화폐 거래소 이용자 노린 금융사기 급증...이용자 보호 대책 강화 필요
최근 암호화폐 가치 상승에 따라 사이버 공격자는 이와 관련한 사이버 공격을 확대하는 추세다. 랜섬웨어 같은 사이버 공격으로 기업에 비트코인을 요구하기도 하고, 악성코드를 통해 사용자 PC나 기업 서버를 암호화폐 채굴기로 사용하는 크립토 재킹을 시도하기도 한다.

[이미지=utoimage]


암호화폐 거래소 사용자 정보 역시 공격 대상이다. 암호화폐 가치가 오르는 만큼 이를 보유한 사용자는 상대적으로 더 많은 자산을 가졌을 가능성이 크다. 블록체인 기술의 특성상 사이버 공격자가 암호화폐 거래소를 통해 사용자의 분산원장 및 암호화폐 정보를 직접 탈취하는 것은 어렵다. 반면, 거래소에서 유출한 사용자 개인정보를 바탕으로 정교한 사이버 공격을 펼치는 것은 상대적으로 쉽다. 공격자는 개인정보를 통해 각 사용자의 경제력이나 소셜 미디어 정보를 확보하고, 공격시 더 많은 이익을 얻을 수 있는 상대방을 물색할 수 있다.

실제로 빅데이터 인텔리전스 보안전문 기업 S2W LAB에 따르면 지난해 7월, 암호화폐 하드웨어 보관 서비스를 제공하던 렛저가 개인정보 유출사고를 통해 이메일, 성명, 세부 주소, 연락처 등이 유출된 바 있다. 유출 정보는 다크웹을 통해 거래된 정황도 발견됐으며, 이에 따라 렛저는 유출된 정보를 통해 복구 키 등을 요구하는 피싱 공격이 일어날 수 있어 사용자에게 주의를 당부하기도 했다.

이 뿐만 아니다. 최근 국내에서는 암호화폐 거래소 코인원을 사칭해 개인정보 탈취를 노린 스미싱 공격이 발견되기도 했다. 스미싱과 피싱 공격을 통해 개인정보를 탈취한 뒤, 보다 정교한 2차 공격을 수행하기 위한 사전 공격으로 추정된다. 이러한 상황에서 암호화폐 거래소의 ISMS 및 ISMS-P 인증 의무화는 매우 중요한 의미를 지닌다는 평가다.

플라이빗의 오세경 마케팅 총괄이사는 “지난해 말 ISMS 인증을 획득했는데, ISMS 인증 획득은 가상자산 거래소의 정보보안 수준 및 정보보호 관리능력을 금융당국으로부터 인정받았음을 의미하는 것”이라며, “정보보호 관리체계를 잘 유지하기 위해 앞으로 더욱 노력하는 것은 물론 고객에게 안전하고 신뢰성 있는 서비스를 제공할 것”이라고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비