최근 가상자산(암호화폐) 사업자에 대한 신고제 도입 등을 골자로 하는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안이 국무회의를 통과했다. 이에 따라 가상자산 거래소는 실명확인이 가능한 입출금 계정 발급, 정보보호 관리체계 인증(ISMS) 등의 요건을 갖춰야 사업을 할 수 있게 되었다.
이 개정안은 가상자산 사업자에 대해 자금세탁행위 방지를 위한 의무를 부과하고, 금융정보분석원에 등록을 해야 하며 등록조건으로 ISMS-P의 취득을 요구하고 있다.
이에 ISMS에서는 AML에 대해서는 다루지 않고 오로지 정보보호에 대해서만 다루고 있다.
이 도서의 필자는 AML 전문가이며 ISMS 인증 심사원인데, 사실 가상자산사업자에 있어서 AML은 온라인의 믹싱, 덤블링을 통한 자금세탁방지는 거래소가 정보보호를 소홀히 한 경우에 발생한 경우에 발생하고 있다.
가상 자산 거래소의 전체적인 점검을 하려면 개인정보보호를 수반하고 있는 CDD, EDD의 절차와 WLF(요주의리스트 필터링)와 데이터를 수집하는 곳의 개인정보보호의 요건인 수집동의, 이용,보관, 파기와 거래소의 전송 기능을 이용할 경우의 트래블 룰이 적용되었는지, 그 모든 데이터의 전송간의 정보보호가 수반되었는지를 확인하여야 한다.
하지만 심사기관의 한계와 그 모든것을 검사할 수 있는 심사원의 부족으로 현실적으로 이를 심사하기는 어렵다.
현실적인 가상 자산 거래소의 ISMS 인증에 있어서는 학교, 기업등과 다를게 없고 조금 다른 점이 멀티시그의 기능 적용과 지갑에 대한 관리를 핫월렛, 콜드월렛 사용 비율에 대해 권고를 하는 것이 다르다.
멀티시그(Multisig)는 암호화폐 지갑 열쇠가 3개가 있어, 지갑을 열려면 2개 이상의 키가 필요한 기능이다. 지갑을 여는 데 단일키가 아닌 다중 키를 사용하는 만큼 보안성을 높이는 기능으로 평가된다.
2019년 3월 29일 국내 최대 암호화폐 거래소 빗썸에서 암호화폐 탈취 사건이 발생했다.
빗썸에 따르면 이번 사고로 암호화폐 이오스(EOS) 300만 개와 2천만 개의 리플(XRP)이 빗썸에서 비정상적으로 빠져나갔다. 원화로 환산하면 약 215억원에 달하는 규모이다.
이에 KISA 관계자는 "ISMS는 만능이 아니라 일정 규모 이상이 되면 이 정도의 보안은 갖추라는 관리 체계일 뿐"이라며 "건강검진을 한다고 해서 병이 안 걸리는 게 아니듯, ISMS도 마찬가지"라고 말했다.
그는 "ISMS 인증에는 멀티시그 기능을 적용하라는 항목이 있지는 않지만, 멀티시그로 하는 게 안전하니 적용하는 게 좋다고 권고는 한다"고 덧붙였다.
이렇듯 가상자산 거래소는 ISMS인증을 기본으로 하고 가급적 개인정보보호까지 고려한 ISMS-P를 하는 것을 권고를 하고, 거래소의 사정에 따라서 취득을 하는 것이 맞을거 같다.
고객들의 안전한 거래와 정보보호를 위한 ISMS인증으로 가상자산 거래소의 밝은 앞날을 기대해본다. <저작권자 ⓒ 코리안투데이(The Korean Today) 무단전재 및 재배포 금지>
댓글
|
많이 본 기사
경제 / IT 많이 본 기사
|
회사소개 ㅣ CI/BI ㅣ 발행인 ㅣ 개인정보보호정책 ㅣ 회원약관 ㅣ 기자 윤리강령 ㅣ RSS ㅣ 기사제보 ㅣ 보도자료 ㅣ 기사검색
등록번호: 서울, 아02872ㅣ등록발행일: 2013.11.11ㅣ제호: 코리안투데이(The Korean Today)ㅣ발행인: (주)스마일스토리 연삼흠
편집인 : 박 준ㅣ발행소 : 서울특별시 강서구 마곡중앙6로 21, 5층 511호 D01(마곡동, 이너매스마곡1차)
전화번호 ☎ 070-7101-7878ㅣ청소년보호책임자 : 박 준| 제보 e-mail : korean_today@naver.com
코리안투데이는 이메일주소 자동수집을 거부하며 이를 위반시 정보통신망관련법에 의해 처벌됨을 유념하시기 바랍니다.
본사의 허락없이 무단 전재를 금합니다. © 2013 - 2023 The Korean Today. All rights reserved.
