경제 / IT > 정보보호
필자의 다른기사 보기 인쇄하기 메일로 보내기 글자 크게 글자 작게
도서) 블록체인 암호화폐 자금세탁방지, 가상자산 거래소가 알아야 할 ISMS-P인증 방법
 
백남정 기사입력  2020/03/27 [08:19]
▲ 블록체인 암호화폐 자금세탁방지 도서 이미지     © 박준 기자


[코리안투데이 박준 기자] 27일 사단법인 한국블록체인산업협회 기술자문 위원인 백남정 위원은 도서 블록체인 암호화폐 자금세탁방지라는 제목의 도서를 출간하였다.

 

최근 가상자산(암호화폐) 사업자에 대한 신고제 도입 등을 골자로 하는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안이 국무회의를 통과했다. 이에 따라 가상자산 거래소는 실명확인이 가능한 입출금 계정 발급, 정보보호 관리체계 인증(ISMS) 등의 요건을 갖춰야 사업을 할 수 있게 되었다.

 

이 개정안은 가상자산 사업자에 대해 자금세탁행위 방지를 위한 의무를 부과하고, 금융정보분석원에 등록을 해야 하며 등록조건으로 ISMS-P의 취득을 요구하고 있다.

 

▲ ISMS와 ISMS-P를 비교한 표     © 박준 기자


ISMS-P 인증을 받아야 하는것은 아니고 선택에 따라서 ISMS 인증이나 ISMS-P인증을 받아야 한다. 또한 가상자산 사업자는 ISMS인증이 원칙이며 개인정보흐름까지의 정보보호를 다룬 ISMS-P까지 의무는 아니다.

 

이에 ISMS에서는 AML에 대해서는 다루지 않고 오로지 정보보호에 대해서만 다루고 있다.

 

이 도서의 필자는 AML 전문가이며 ISMS 인증 심사원인데, 사실 가상자산사업자에 있어서 AML은 온라인의 믹싱, 덤블링을 통한 자금세탁방지는 거래소가 정보보호를 소홀히 한 경우에 발생한 경우에 발생하고 있다.

 

가상 자산 거래소의 전체적인 점검을 하려면 개인정보보호를 수반하고 있는 CDD, EDD의 절차와 WLF(요주의리스트 필터링)와 데이터를 수집하는 곳의 개인정보보호의 요건인 수집동의, 이용,보관, 파기와 거래소의 전송 기능을 이용할 경우의 트래블 룰이 적용되었는지, 그 모든 데이터의 전송간의 정보보호가 수반되었는지를 확인하여야 한다.

 

하지만 심사기관의 한계와 그 모든것을 검사할 수 있는 심사원의 부족으로 현실적으로 이를 심사하기는 어렵다. 

 

현실적인 가상 자산 거래소의 ISMS 인증에 있어서는 학교, 기업등과 다를게 없고 조금 다른 점이 멀티시그의 기능 적용과 지갑에 대한 관리를 핫월렛, 콜드월렛 사용 비율에 대해 권고를 하는 것이 다르다.

 

멀티시그(Multisig)는 암호화폐 지갑 열쇠가 3개가 있어, 지갑을 열려면 2개 이상의 키가 필요한 기능이다. 지갑을 여는 데 단일키가 아닌 다중 키를 사용하는 만큼 보안성을 높이는 기능으로 평가된다.

 

2019년 3월 29일 국내 최대 암호화폐 거래소 빗썸에서 암호화폐 탈취 사건이 발생했다. 

 

빗썸에 따르면 이번 사고로 암호화폐 이오스(EOS) 300만 개와 2천만 개의 리플(XRP)이 빗썸에서 비정상적으로 빠져나갔다. 원화로 환산하면 약 215억원에 달하는 규모이다.

 

이에 KISA 관계자는 "ISMS는 만능이 아니라 일정 규모 이상이 되면 이 정도의 보안은 갖추라는 관리 체계일 뿐"이라며 "건강검진을 한다고 해서 병이 안 걸리는 게 아니듯, ISMS도 마찬가지"라고 말했다.

 

그는 "ISMS 인증에는 멀티시그 기능을 적용하라는 항목이 있지는 않지만, 멀티시그로 하는 게 안전하니 적용하는 게 좋다고 권고는 한다"고 덧붙였다.

 

이렇듯 가상자산 거래소는 ISMS인증을 기본으로 하고 가급적 개인정보보호까지 고려한 ISMS-P를 하는 것을 권고를 하고, 거래소의 사정에 따라서 취득을 하는 것이 맞을거 같다.

 

고객들의 안전한 거래와 정보보호를 위한 ISMS인증으로 가상자산 거래소의 밝은 앞날을 기대해본다.

광고
트위터 페이스북 카카오톡 카카오스토리 네이버 블로그 밴드
기사입력: 2020/03/27 [08:19]  최종편집: ⓒ 코리안투데이
 
 
배너
배너
배너
배너
주간베스트 TOP10
배너