가상자산사업자에 특화된 정보보호관리체계(ISMS) 인증 항목 신설

아래는 KISA의 가상자산사업자용 ISMS 세부점검항목 공지의 파일에 있는 내용중 일부다

​

가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?

가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가?

노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가 - (권고)1024 이후 포트로 적용

월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?

월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책을 마련하고 있는가?

가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?

IDC 내부에 무선통신망 설치 및 운용을 금지하고 있는가?

월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?

콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을때에는 전원을 OFF 또는, 네트워크의 접속을 차단하고 있는가? (목적외 SW 설치 및 인터넷 사용 금지)

월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차 - 개인키 passphrase 설정 및 관리 방안 - 개인키의 안전한 보관(핫월렛, 콜드월렛) - 개인키 접근 및 사용 절차 - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책 - 개인키 백업 및 소산 - 개인키 관련 책임추적성 확보 - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링 - 기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)

멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 2인 이상의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?

외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?

월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?

핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?

신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?

주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있는가?

​

https://www.msit.go.kr/web/msipContents/contentsView.do?cateId=_policycom2&artId=3155776

 

보도자료 | 과학기술정보통신부

디지털뉴딜 성공적 뒷받침을 위한 정보보호관리체계(ISMS) 제도 개선 추진 사이버침해대응과 박정아 사무관 연락처 044-202-6463 작성일 2020.11.01. 첨부파일 201102 조간 (보도) 디지털뉴딜 성공적 뒷받침을 위한 ISMS 제도 개선 추진(배포).hwp  [ 66 KB ] 바로보기 ODT 다운로드

www.msit.go.kr

< 정보보호 사각지대 해소 >

 

□ 가상자산 사업자, 중소기업에 특화된 정보보호관리체계(ISMS) 인증 심사체계를 구축하여 정보보호 사각지대를 해소할 예정이다.

 

ㅇ 그간 가상자산 사업은 금융 서비스 특성이 있지만, 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 정보보호관리체계(ISMS) 인증 심사항목을 적용하여 인증해왔다.

 

※두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7개사 인증

ㅇ 특금법* 개정으로 가상자산사업자의 법적지위를 부여하고 정보보호관리체계(ISMS) 인증획득을 의무화하는 제도적 기반이 마련된 것을 계기로, 금융위원회(금융보안원)과 협업하여 가상자산에 특화된 점검항목(지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)을 개발하고, 올해 11월부터 공지하여 정보보호관리체계(ISMS) 인증 심사에 적용하도록 할 예정이다.

 

* 특정 금융거래정보의 보고 및 이용 등에 관한 법률(’21.3월 시행) : 가상자산사업자 신고 수리요건에 정보보호 관리체계(ISMS) 인증 포함

 

※ 가상자산사업자 심사 시, “ISMS 기존항목”(325개) + “가상자산 특화항목”(56개)= 381개 점검

​

​

특화된 점검항목(지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)는 핫월렛, 콜드월레 사용 비율과 암호키의 이중 체크 여부, 전산 원장 즉 DB가 제대로 관리되고 있는지, 실제 이체를 누가 수행하는지 여부를 체크를 하겠다는 것으로 보인다.

​

​

​

 

ㅇ 그리고, 정보보호가 중요한 영세・중소기업도 불필요한 비용 소모 없이 기업 스스로 정보보호관리체계(ISMS) 인증을 준비할 수 있도록 ISMS 인증항목절차(102개)를 경량화한 중소기업용 인증체계를 마련하여 인증 비용과 소요기간을 단축하도록 지원할 예정이다.

 

* 정보통신망법 개정안 마련 중 (11월)

 

가상자산 ISMS-P 인증 문의는 테크파이 백남정 대표에게(teamorx@gmail.com)