가상자산 사업자 되려면 ISMS 예비인증 필수
컨설팅 받으려면 최소 수천만원에서 최대 1억
인증 획득 업체도 신고 변경 때마다 다시 받아야
 |
| ISMS 예비인증 |
가상자산 사업체를 운영하는 A씨는 최근 모 컨설팅 업체를 거쳐 정보보호 관리체계(ISMS) 예비인증을 받았다.
ISMS 인증은 정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합한 지를 한국인터넷진흥원 또는 인증기관이 증명하는 제도다.
A씨는 “가상자산 사업자가 되려면 반드시 ISMS 본인증 외에 예비 인증도 받아야 한다”며 “이런 보안 인증은 내부에 보안팀이 있는 큰 기업이 아니면 자체적으로 절차를 진행하는 것이 어려워 컨설팅 업체를 이용해야 하는데, 견적으로 1억원 넘게 부른 업체도 있었다”고 털어놨다.
가상자산 사업자가 되기 위해 받아야 하는 ISMS 예비인증 제도에 대한 업계 비판이 거세다.
지나치게 까다롭고 비용이 많이 들어 신규 시장 진입을 가로 막는다는 것이다.
게다가 가상자산 사업자가 되기 위해 받아야 하는 ISMS 본인증을 받기 전에 예비인증까지 요구하는 현 제도가 합리적이지 못하다는 지적도 나온다.
가상자산 사업자 종류는 크게 △암호화폐 거래소 △블록체인 지갑 서비스 △가상자산 수탁 서비스(커스터디)가 있는데, 지난 3월 말 기준 국내 가상자산 사업자로는 암호화폐 거래소인 업비트, 코빗, 코인원, 빗썸 등 30여 곳이 더 있다.
과학기술정보통신부는 지난 2022년 7월 고시를 개정해 ISMS 본인증 외에 ISMS 예비인증도 받아야 가상자산 사업자가 될 수 있도록 했다.
신설된 과기부 고시 제18조의2 제1항은 ISMS 예비인증과 본인증에 대해 설명하면서 예비인증을 ‘본인증을 받기 위한 조건부 인증’으로 규정했다.
다시 말하면 본인증을 받기 위해선 예비인증부터 받고 오라는 의미다.
과기부는 고시 개정 후 가상자산 사업자를 대상으로 개최한 설명회에서 “특정금융정보법이 지난 2021년 시행된 후 서비스 운영실적을 쌓을 수 없어 시장 진입이 불가능했던 신규 가상자산 사업자가 ISMS 예비인증 세부 점검항목 심사통과 시 예비인증 취득이 가능해져 특정금융정보법 상 가상자산 사업자 신고요건을 갖출 수 있게 됐다”고 밝혔다.
그런데 업계에서는 이런 ISMS 예비인증 제도가 오히려 가상자산 사업자에게 도움이 안 된다고 보고 있다.
첫 번째 이유로는 까다로운 인증 신청절차로 인해 발생하는 비싼 비용을 꼽는다.
앞서 언급한 A씨는 스타트업 대표다보니 많은 금액을 지출할 수 없어 여러 보안 컨설팅 업체에 인증 대행을 의뢰했는데, 그가 의뢰한 컨설팅 업체들은 적게는 2000만원에서 많게는 1억원 넘는 금액을 견적으로 제시했다.
결국 A씨는 그나마 가장 저렴한 2000만원을 제시한 컨설팅 업체와 계약했다.
이 업체에 따르면 ISMS 예비인증을 받기 위한 절차는 대단히 복잡하다.
조직이나 네트워크 구성 등 현황 분석, 관리적·물리적·법적·기술적 부문 취약점 진단 수행, 취약점 진단 결과를 토대로 한 위험평가 및 분석, 발견된 위험에 대한 대응방안 및 조치계획 수립 등 수많은 절차를 거쳐야 한다.
심사일 기준으로 8주 전에 심사를 접수하는데 인증신청서, 운영명세서, 사업자등록증를 비롯한 서류를 제출하고 5일간 심사를 거친 뒤 40일에서 100일까지 소요되는 예비인증 심사 결함에 대한 보완 조치까지 수행하고 나야 예비인증서가 발급된다.
컨설팅 업체 대표 B씨는 “예비인증만 이 정도고, 본인증은 별도 절차와 비용이 수반된다”며 “컨설팅 결과에 따라 방화벽을 비롯한 각종 솔루션이 추가로 필요할 수도 있다”고 설명했다.
ISMS 본인증 외에 예비인증까지 받게 한 정부 조치도 효율적이지 못하다는 지적이 있다.
A씨는 “예비인증까지 받게 하는 건 결국 초기 스타트업에게 비용을 이중으로 지불하라는 얘기 아니냐”며 “가상자산 사업을 할 때 보안을 철저하게 관리하는 게 물론 중요하지만, 진입장벽을 이렇게 높이면 과연 산업이 발전할 수 있을지 의문이 든다”고 토로했다.
가상자산 사업자 신고를 변경할 때마다 또 다시 ISMS 예비인증과 본인증을 받아야 한다는 것도 문제로 제기된다.
현행 특정금융거래정보의 보고 및 이용 등에 관한 법률 제7조는 가상자산 사업자의 신고 사항이 변경된 경우에는 금융정보분석원장에게 변경 신고를 해야 한다고 규정하는데, ISMS 인증 2 개를 다시 받지 않으면 신고를 수리하지 않을 수 있다고 규정하고 있다.
A씨는 “가상자산 산업 발전을 위해서는 ISMS 인증 2개를 받도록 한 정부와 인증대행 가격 정제화를 제대로 시키지 않은 컨설팅 업계 둘 다 개선 노력이 필요하다”고 강조했다.
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
![[집중취재] "경기도도 남북 분단?"…분도 '현실화' 되나](https://imgmm.mbn.co.kr/vod/news/103/2024/05/03/20240503170603_10_103_0_MM1005221352_4_221.jpg)
![[AI기자 MK라씨로가 들려주는 이번주 증권 리포트] 기아, 증권사 목표가 '17만 7천원'](https://imgmm.mbn.co.kr/vod/news/103/2024/05/03/20240503171054_10_103_0_MM1005221370_4_41.jpg)