기존 가상자산 사업자가 정상적으로 사업을 운영하기 위해선 적어도 내년 3월까지 한국인터넷진흥원(KISA)의 정보보호관리체계(ISMS) 인증 심사를 신청해야 할 것으로 보인다. ISMS 인증 취득까지 통상 6개월이 소요되기 때문에 가상자산 사업자가 개정 특금법(특정 금융거래정보의 보고 및 이용 등에 관한 법률)에 따라 내년 9월전까지 ISMS 인증을 받기 위해선 2021년 3월 이전에 접수를 마쳐야 한다는 것이다.
2일 한국인터넷진흥원(KISA) 이상무 보안수준인증팀장은 "가상자산 사업자는 올해 안으로 ISMS 인증을 신청하는 게 가장 좋지만 어려울 경우 내년 9월 개정 특금법 시행 시점을 기준으로 최소 6개월 전엔 신청하는 게 안전하다"고 말했다.
이 팀장은 지난 1일 종로구 우정국로 센트로폴리스에서 열린 '특금법 컨퍼런스'에서 "이미 많은 가상자산 기업이 ISMS 인증을 신청한 상태"라며 "인증 수수료는 기업 규모 및 기술측정 범위에 따라 차이가 있지만 기본적으로 1000~1300만원 사이에서 책정된다"고 설명했다.
가상자산 기업이 ISMS 인증을 획득해야 하는 이유는 지난 3월 가상자산 사업자의 자금세탁방지(AML) 의무를 골자로 한 개정 특금법이 국회를 통과했기 때문이다. 개정 특금법에 따르면 가상자산 기업은 ISMS인증과 실명확인이 가능한 입출금 계정을 발급받아 금융정보분석원(FIU)에 신고해야 정상적인 사업 영위에 가능하다.
신규 가상자산 기업은 내년 3월까지 해당 신고수리 요건을 모두 갖춰 신고해야 하고, 기존 가상자산 기업은 개정 특금법 시행일로부터 6개월 이내인 2021년 9월 전까지 동일한 절차를 모두 완료해야 한다.
ISMS 인증 절차는 구체적으로 준비, 심사, 인증, 사후관리 등 4단계로 구성된다. 기업은 80개 통제 항목으로 구성된 ISMS 심사기준에 따라 자체 보안 시스템을 구축한 뒤 신청서류를 접수하고 KISA 현장심사를 거친다. 만약 심사 중 결함이 발견될 경우 최대 100일 내 보완해 재점검을 마쳐야 한다.
이 팀장은 "ISMS 인증 심사는 서버 접근통제 및 접근권한 관리 수준, 정보보호 교육, 내부정책 수립 등 다양한 기준으로 평가한다"며 "가상자산 기업 역시 동일한 심사 기준을 바탕으로 진행하지만 일반 온라인 사이트와 인프라 차이가 있기 때문에 핫월렛(인터넷에 연결된 가상자산 지갑), 콜드월렛(인터넷에 연결되지 않은 가상자산 지갑) 등을 따로 평가하는 등 세부 심사 항목에 조금씩 차이가 있을 수 있다"고 설명했다.
ISMS 인증을 위한 보안 시스템 마련 비용 등 일부 가상자산 기업의 우려와 관련해선 "기업 규모에 따라 준비 비용도 천차만별"이라며 "또, 시스템 관리를 사람이 하느냐, 상품을 구매해 하느냐 등에 따라 필요한 비용이 모두 다르다"고 짚었다.
