'58 vs 0'…가상자산 사업자, 역차별에 운다
특금법 이후 신규 ISMS 발급 중단
"FIU, ISMS 인증서 여부에만 관심…세부 내용은 신경 안써" 지적
2021-12-09 06:00:00 2021-12-09 06:00:00
[뉴스토마토 김진양 기자] 58개와 0개. 
 
지난 9월 '특정 금융거래 정보의 보고 및 이용 등에 관한 법률'(특금법) 시행 이후 한국인터넷진흥원(KISA)로부터 정보보호 관리체계(ISMS) 인증을 받은 일반 사업자와 가상자산 사업자의 숫자다. 특금법 이후 가상자산 사업자에 대한 신규 ISMS 인증이 중단되면서 발생한 격차다. 
 
이 때문에 일부 사업자들은 가상자산 사업 계획을 숨기고 인증을 우선 받은 뒤 사업 내용에 가상자산업을 추가하는 방식으로 우회 인증을 받는 방법을 선택하고 있기도 하다. '가상자산 사업자'라는 주홍글씨에 서비스 진출이 불가한 업체들은 '역차별'이라며 불만을 토로하고 있다. 
 
8일 KISA의 ISMS 인증서 발급 현황에 따르면 특금법이 시행된 9월24일 이후부터 현재까지 ISMS 인증을 획득한 곳은 총 58개다. 게임, 이커머스, 패션, 유통, 교육, 대학, 언론 등 업종도 다양하다. 하지만 가상자산 사업을 영위하는 곳은 단 한 곳도 없다. 특금법을 이유로 가상자산 사업자의 ISMS 신청과 심사가 진행되지 않고 있는 까닭이다. 
 
ISMS는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사해 인증을 부여하는 제도로 지난 2001년부터 운영돼 왔다. 
 
인터넷서비스사업자(ISP)와 인터넷데이터센터(IDC) 이외에 △정보통신서비스 부문의 전년도 매출액이 100억원 이상 △전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 기업들은 의무적으로 ISMS 인증을 획득해야 한다. 의무대상자 기준에 해당하지 않아도 인증 취득을 희망할 경우 자율적으로 신청해 인증 심사를 받을 수 있다. 
 
ISMS 인증심사 절차. 사진/KISA 홈페이지 캡처
 
ISMS 인증을 취득한 사업자들은 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 매년 사후심사를 받아야 한다. 3년의 인증 유효기간이 경과되면 연장을 위해 갱신심사를 받는다.
 
이처럼 특정 서비스의 정보보호 관리 여부를 감독하기 위해 마련된 ISMS 인증 제도가 가상자산 사업자들의 사업 존폐를 결정짓는 핵심으로 부상하게 된 배경에는 정부의 가상자산사업자 신고 제도가 있다. 가상자산사업자 신고 수리를 담당하는 금융위원회 산하 금융정보분석원(FIU)이 ISMS 인증서를 신고 접수에 반드시 필요한 요소로 지정했기 때문이다. 
 
이에 KISA도 가상자산 사업자들에게는 보다 엄격한 잣대를 들이대기 시작했다. KISA는 특금법 시행을 앞둔 지난해 11월 가상자산 사업자에 대한 ISMS 인증 항목을 추가했다. 관리체계 수립 및 운영과 보호대책 요구사항 등에 걸쳐 총 230여개 세부항목 중 56개 항목에 가상자산 사업자들이 추가로 점검해야 하는 내용을 삽입했다. 주로 가상자산 거래와 관련한 중요 데이터베이스(DB)를 별도로 관리하고 있는지, 월렛(가상자산 지갑) 관련 시스템에 담당자가 아닌 자의 접근을 통제하고 있는지 등 가상자산의 안전한 관리에 초점이 맞춰져 있다. 하나의 기준에 의거해 진행됐던 ISMS 인증이 일반 사업자와 가상자산 사업자에 대한 인증으로 나뉘게 된 셈이다.  
 
KISA 관계자는 "가상자산 사업자들은 업무 영역과 관련 인프라가 일반 기업들과 다르다"며 "심사원들과 기업들이 참고할 수 있도록 용어와 점검 항목들을 구체화 한 것"이라고 설명했다. 세부 점검항목은 인증 기준을 구체화 한 보조적 점검 항목일 뿐 별개의 내용이 추가된 것은 아니라는 얘기다. 
 
문제는 일반 사업자로 ISMS 인증을 받은 기업이 추후 가상자산 거래소나 토큰 지갑 보관 등 관련 사업으로 진출할 때에 발생할 수 있다. 이들이 FIU에 가상자산사업자로 신고를 하려면 ISMS 인증이 반드시 필요한데, FIU에서는 해당 ISMS 인증이 가상자산 사업자로 준해서 엄격하게 심사를 받은 것인지 아닌지 여부에는 관심이 없다는 지적이다.
 
이 같은 허점을 노리고 업계에서는 우회 전략을 세우는 곳도 있다. 현재에는 가상자산 사업과는 관계가 없는 것처럼 꾸며서 ISMS 인증을 우선 받은 다음 추후에 가상자산 사업 내용을 추가해 FIU에 사업자 신고를 하는 것이다. 설령 가상자산 사업을 추가한 후 사후 심사 등으로 ISMS 인증을 보완하더라도 신규 심사보다는 통과가 쉽지 않겠느냐는 기대도 깔려있다. 
 
익명을 요구한 한 업계 관계자는 "신규로 ISMS 인증을 받으려는 가상자산 사업자에 대해서만 색안경을 끼고 금융기관 수준의 엄격한 기준을 만들고 있다"며 "ISMS 인증을 필수 요건으로 만든 FIU가 정작 이에 대한 판별을 제대로 하지 않는다면 역차별이 아닌가"라고 반문했다. 
 
이에 FIU 관계자는 "기본적으로 가상자산 사업자에 대한 심사 진행 시 관련 항목들을 이행했는지는 KISA측과 확인을 하고 있는 것으로 알고 있다"면서도 "아직까지 나타나지 않은 사례들에 대해서는 언급하기 어렵다"고 명확한 답변을 피했다. 
 
김진양 기자 jinyangkim@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최신형 정치정책부장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사