본문 바로가기
카테고리 없음

(기고) 가상자산 거래소가 알아야 할 ISMS-P 인증 방법

디기돈 2020. 5. 10. 16:25
반응형

가상자산(암호화폐) 사업자에 대한 신고제 도입 등을 골자로 하는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안이 국무회의를 통과했다. 이에 따라 가상자산 거래소는 실명확인이 가능한 입출금 계정 발급과 정보보호 관리체계 인증(ISMS) 등의 요건을 갖춰야 사업을 할 수 있게 되었다

ISMS-P 강의, 컨설팅 문의

teamorx@gmail.com, 카카오 :teamorx

아래는 제가 트렌드 와칭에 기고한 글입니다.

 

https://trendw.kr/2020-03236005.t1m

 

 

 

 

가상자산(암호화폐) 사업자에 대한 신고제 도입 등을 골자로 하는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안이 국무회의를 통과했다. 이에 따라 가상자산 거래소는 실명확인이 가능한 입출금 계정 발급과 정보보호 관리체계 인증(ISMS) 등의 요건을 갖춰야 사업을 할 수 있게 된다.

개정안은 가상자산 사업자에 대해 자금세탁행위 방지를 위한 의무를 부과하고 금융정보분석원에 등록을 해야 하며 등록조건으로 ISMS-P의 취득을 요구하고 있다.

ISMS-P 인증을 받아야 하는것은 아니고 선택에 따라서 ISMS 인증이나 ISMS-P인증을 받아야 한다. 가상자산 사업자는 ISMS인증이 원칙이며 개인정보흐름까지의 정보보호를 다룬 ISMS-P까지 의무는 아니다.

ISMS에서는 AML에 대해서는 다루지 않고 오로지 정보보호에 대해서만 다루고 있다.

필자는 AML 전문가이며 ISMS 인증 심사원인데 사실 가상자산사업자에 있어서 AML은 온라인의 믹싱, 덤블링을 통한 자금세탁방지는 거래소가 정보보호를 소홀히 한 경우에 발생한 경우에 발생하고 있다.

가상 자산 거래소의 전체적인 점검을 하려면 개인정보보호를 수반하고 있는 CDD, EDD의 절차와 WLF(요주의리스트 필터링)와 데이터를 수집하는 곳의 개인정보보호의 요건인 수집동의, 이용,보관, 파기와 거래소의 전송 기능을 이용할 경우의 트래블 룰이 적용되었는지, 그 모든 데이터의 전송간의 정보보호가 수반되었는지를 확인하여야 한다.

하지만 심사기관의 한계와 그 모든것을 검사할 수 있는 심사원의 부족으로 현실적으로 이를 심사하기는 어렵다.

현실적인 가상 자산 거래소의 ISMS 인증에 있어서는 학교, 기업등과 다를게 없고 조금 다른 점이 멀티시그의 기능 적용과 지갑에 대한 관리를 핫월렛, 콜드월렛 사용 비율에 대해 권고를 하는 것이 다르다.

멀티시그(Multisig)는 암호화폐 지갑 열쇠가 3개가 있어 지갑을 열려면 2개 이상의 키가 필요한 기능이다. 지갑을 여는 데 단일키가 아닌 다중 키를 사용하는 만큼 보안성을 높이는 기능으로 평가된다.

2019년 3월 29일 국내 최대 암호화폐 거래소 빗썸에서 암호화폐 탈취 사건이 발생했다. 빗썸에 따르면 이번 사고로 암호화폐 이오스(EOS) 300만 개와 2천만 개의 리플(XRP)이 빗썸에서 비정상적으로 빠져나갔다. 원화로 환산하면 약 215억원에 달하는 규모이다.

이에 KISA 관계자는 "ISMS는 만능이 아니라 일정 규모 이상이 되면 이 정도의 보안은 갖추라는 관리 체계일 뿐"이라며 "건강검진을 한다고 해서 병이 안 걸리는 게 아니듯 ISMS도 마찬가지"라고 말했다.

그는 "ISMS 인증에는 멀티시그 기능을 적용하라는 항목이 있지는 않지만 멀티시그로 하는 게 안전하니 적용하는 게 좋다고 권고는 한다"고 덧붙였다.

 


한편, 해치랩스는 ISMS를 준비하고 있는 가상자산 사업자들이 안전하게 활용할 수 있는 멀티시그 솔루션을 개발했다.  Henesis는 멀티시그 월렛을 사용할 수 있도록 API를 제공하며 다양한 보안 기능을 제공하고 있다. 보안을 통제하기 위해서 OTP인증, 지갑 비밀번호 등을 지원하고 있으며, 관리자별 권한 분리를 지원하여 월렛의 입출금 절차를 지원하고 있다. 그리고 지정된 단말이 아닌 다른 IP에서 접속했을 때 해당 로그인을 제한하는 IP White listing을 지원하고 있다고 한다.

이렇듯 가상자산 거래소는 ISMS인증을 기본으로 하고 가급적 개인정보보호까지 고려한 ISMS-P를 하는 것을 권고를 하고, 거래소의 사정에 따라서 취득을 하는 것이 맞을거 같다. 고객들의 안전한 거래를 위한 정보보호에 대한 노력을 통해 가상자산 거래소의 밝은 앞날을 기대해본다. 

 

기고자: 백남정 이사

솔루션 문의 :teamorx@gmail.com ,010-2922-1706

테크파이 대표, 대한의료데이터협회 기술이사
ISMS-P인증심사원, 개인정보영향평가
전)해외송금 한패스 자금세탁방지 책임자
전)해외송금 E9PAY 자금세탁방지 책임자, 전산실장

인터파크, 동국대학교, 나이스디앤비 등  다수 기관 ISMS-P 심사

 

티스토리툴바