가상자산 지갑 보안 강화한다…KISA, ISMS 인증 점검항목 세부화

(그래픽=이미지투데이 제공)

[이데일리 이후섭 기자] 내년 3월 `특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)` 시행을 앞두고 가상자산 사업자에 대한 정보보호 관리체계(ISMS) 인증 기준이 강화됐다. 가상자산 월렛(지갑)보관 및 관리체계를 중심으로 세부화한 점검항목이 추가됐다. 업계에서는 기존 인증을 받았던 업체들에게는 크게 부담이 되지 않겠지만, 중소형 거래소의 경우 인증 획득이 힘들어질 것이라는 우려가 나온다.

19일 관련 업계에 따르면 전날 한국인터넷진흥원(KISA)는 가상자산사업자를 대상으로 ISMS 인증제도 설명회를 열고 인증 구축, 운영방안 등 인증획득을 위해 필요한 사항을 안내했다.

과학기술정보통신부는 가상자산에 특화된 점검항목(지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)을 개발해 가상자산 사업자 심사시 기존 ISMS 항목 325개에 가상자산 특화항목 56개를 더해 총 381개를 점검하게 됐다. 이번에 추가된 항목은 관리분야 11개 항목, 물리분야 5개, 기술 분야 24개, 금융 분야 16개 항목 등이다.

가상자산 사업자에게 가장 핵심인 월렛(지갑)에 대한 점검항목이 주안점으로 꼽힌다. 월렛 보관에 있어 네트워크와 분리돼 가상자산을 보관하는 콜드월렛의 경우 이를 위한 공간이 별도로 분리돼 있는지, CCTV 등을 통해 이를 관리하고 있는지 여부와 월렛 서버와 키관리 시스템 등 기술적인 부분 등도 점검한다.

KISA 관계자는 “기존 인증의 점검항목을 세부화하고 지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 가상자산 관련 용어를 명확히 구분하는 차원에서 점검항목을 추가했다”며 “기존 인증을 준비하던 업체들이라면 이미 적용하고 있을 내용이라 인증 심사를 진행하면서 유연하게 추가 항목을 점검해 나갈 것”이라고 설명했다.

KISA의 설명과 마찬가지로 업계에서는 기존에 ISMS 인증을 보유하고 있던 대형 거래소는 새로운 기준이 크게 부담이 되지는 않을 것으로 평가하고 있다. 두나무·빗썸코리아·코빗·코인원·스트리미·플루토스디에스·뉴링크 등 7개 업체가 ISMS 인증을 받았다. 이들은 매년 정보보호조치가 지속적으로 유지되고 있는지 평가하는 인증 사후심사에 새로운 기준이 적용된다.

업계 관계자는 “점검항목이 추가되기 전부터 준비하고 있던 부분들과도 일부 겹치는 항목이 있어 인증 준비에 부담은 되겠지만 그리 크지는 않을 것”이라며 “가상자산 사업 영역을 인정해주고 별도의 인증을 마련해줬다는 측면에서 보면 긍정적인 시그널로 해석될 수도 있다. 이를 통해 투자자 신뢰도 회복할 수 있을 것”이라고 내다봤다.

또다른 업계 관계자도 “강화된 ISMS는 기존 인증에 금융권에 적용됐던 기준을 추가한 정도로 보인다”며 “다만 중소형 거래소는 인적으로나, 물적으로나 부족한 점이 많아 아무래도 인증 획득이 힘들어질 수 있다”고 내다봤다.