[문정은 기자]

/ 사진=KISA

<이미지를 클릭하시면 크게 보실 수 있습니다>

코로나19로 미뤄졌던 정보보호관리체계(ISMS) 인증에 대한 한국인터넷진흥원(KISA) 심사가 다시 정상화되면서, 국내 중소 가상자산 거래소들도 분주해졌다.

내년 3월부터 개정된 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)이 시행되면 ISMS 인증은 가상자산 거래소들이 반드시 받아야 하는 인증이 될 가능성이 높다. 정부가 가상자산 거래소 신고요건에 ISMS 인증을 의무화할 것으로 전망된다. 이에 아직 ISMS 인증을 받지 못한 거래소들이 잇따라 ISMS 인증 심사를 신청하고 있는 것이다.

코로나19로 미뤄진 방문심사 재개

3일 관련업계에 따르면 KISA가 잠시 미뤄뒀던 ISMS 인증 심사를 재개했다. 당초 상반기 중으로 진행할 예정이었던 몇몇 거래소들의 방문심사가 코로나19로 인해 연기됐는데, 하반기에는 심사가 재개될 예정이다.

ISMS는 기업이 주요 정보자산을 보호하기 위해 수립 및 관리, 운영하는 정보보호 관리체계다. KISA가 인증기준에 적합한지 심사하여 인증을 부여하는 제도다. 사업자가 ISMS 인증을 신청하면, 예비심사를 거쳐 약 7주일 정도 본심사를 거친다. 이때 미흡한 사항이 발견되면 최대 100일 간의 조치 시간이 주어진다.

이후 KISA는 이행점검을 거쳐 거래소가 심사 기준을 모두 충족할 시 '인증위원회'를 거쳐 최종 인증을 부여한다. 다만 사업자가 보안 조치를 미이행할 경우 심사가 취소되며 사업자가 재신청해야 한다.

이미 ISMS 인증을 신청한 거래소는 후오비코리아, 포블게이트, 캐셔레스트 등이다. 이 거래소들은 올 상반기에 방문심사를 받았어야 하지만 코로나19 사태로 하반기로 심사일정이 미뤄졌다. 이 외에도 새롭게 등장한 에이프로빗과 플라이빗 또한 ISMS 신청을 준비 중이다.

ISMS인증이 거래소 생존 가른다... 미리 준비해야

이처럼 거래소들이 ISMS 인증에 열을 올리는 것은 특금법 개정안 때문이다. 지난 3월 국회 본회의를 통과한 이 개정안은 내년 3월 시행된다. 시행 이전부터 영업을 해오던 가상자산 사업자는 개정안 시행일로부터 6개월 이내 금융위원회 산하 금융정보분석원(FIU) 측에 신고해야 한다. 이때 ISMS 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다.

이에 거래소들은 ISMS 인증 준비 과정부터 신청, 심사 등 각 단계에 걸쳐 전문 컨설팅을 받는 경우가 많다. 업계에 따르면 통상 ISMS 준비 비용으로 수천만원~1억원 수준, 최종 인증까지도 약 1년의 시간이 소요되는 것으로 알려졌다.

게다가 KISA는 현재 ISMS 심사 기준에 대해 보완 사항을 검토하고 있다. 연내 과학기술정보통신부를 통해 게재할 예정이다. 심사 기준이 보완되면 지금보다 심사 기준이 강화될 가능성이 높다. KISA 관계자는 "ISMS 심사 점검 항목에 대해 보완을 검토하고 있으며, 연내 게재하는 것을 계획하고 있다. 보완을 검토하는 만큼, 지금보다 심사 기준이 강화될 수 있다"며 "게재 이전에는 지금과 동일한 기준으로 심사가 진행된다"고 말했다.

국내 가상자산 한 업계 관계자는 "ISMS 인증이 거래소들의 생존을 결정하는 기준이 될 것으로 보인다"며 "특히 신생 거래소들은 준비 소요 기간과 심사 기준 등을 고려해 더 보수적인 관점에서 ISMS 인증을 준비해야 한다. 자금세탁방지(AML) 솔루션 등을 대비하는 움직임도 더 빨라질 것"이라고 말했다.

문정은 기자 moon@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>