그동안 ‘특금법’ vs ‘정보보호법’ 상충된 규정으로 신규사업자 등록 불가
“‘2개월간 영업허가 있어야 ISMS 인증 신청’ 규정 자체가 모순” 지적
“본인증 이전에 ‘예비인증’ 취득, 영업 가능, 신규사업자 시장 진입토록”
[애플경제 이보영 기자] 암호화폐 등 가상자산사업자들의 시장 진입을 위한 ‘예비 인증제’가 도입된다. 그 동안 업계 등에서는 실정법 제도 간의 모순으로 사실상 신규 가상자산사업자의 등록과 시장 진출이 불가능하다는 지적이 많았다.
실제로 지난해 개정된 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’(이하 ’특금법‘)에 따라, 기상자산사업자들은 ISMS(정보보호 관리체계) 인증기준 충족 등의 신고요건을 갖춰 금융정보분석원(이하 ‘FIU’)에 신고 수리 된 경우에 한해 영업을 할 수 있게 했다. 그러나 또 다른 법률인 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’)에 따르면, ISMS 인증 취득을 위해서는 최소 2개월 이상 서비스운영 실적이 필요하다. 즉, ‘특금법’에 의해 영업 허가를 받은 상태가 아님에도 ISMS 인증을 취득하기 위해선 ‘정보통신망법’에 의해 2개월 이상 영업을 해야 한다는 조건이다.
이처럼 두 제도 간 상충으로 사실상 신규 사업자 신고가 원천적으로 불가능한 상태라는 지적이었다. 이에 과학기술정보통신부(이하 ‘과기정통부’)는 이런 제도적 모순을 해소하기 위해 21일부터 ISMS ‘예비인증제도’를 도입하는 내용으로 고시를 개정, 시행키로 했다.
이번 고시개정으로 ‘특금법’ 시행 후 운영 실적을 쌓을 수 없어 시장 진입이 불가한 상황이었던 신규 가상자산사업자는 ISMS ‘예비인증’ 세부 점검항목에 대한 심사를 통과할 경우 이를 취득, ‘특금법’ 상의 가상자산사업자 신고요건을 갖출 수 있게 되었다. ‘예비인증’은 ISMS 인증기준(80개)에 따라 심사가 수행되며, 가상자산 세부점검항목(290개)중 196개 항목(67.5%)을 중점 점검할 예정이다.
ISMS(Information Security Management System)는 정보통신망법 제47조에서 ‘기업이 주요 정보자산 보호를 위해 구축‧운영중인 정보보호 관리체계(예, 보안정책‧인력‧장비‧시설 등)가 인증기준(관리적·기술적·물리적)에 적합한지를 인증하는 제도’라고 규정되어있다. 앞으로 신규 가상자산사업자가 시험환경을 구축, ISMS ‘예비인증’을 취득하려면, 아래 조건에 유의하여야 한다.
우선 ▲ ISMS ‘예비인증’을 취득한 가상자산사업자는 예비인증 취득 후, 3개월 이내에 FIU에 특정금융정보법 상 가상자산사업자 신고를 완료하여야 한다. ▲ FIU에서 신고수리 되면, 가상자산사업자는 실제 가상자산서비스를 제공할 수 있게 된다. 다만, FIU에 가상자산사업자로서 신고수리 완료된 이후 2개월 이상 운영한 데이터를 바탕으로 반드시 6개월 이내에 ISMS 본인증을 신청하고, 본인증을 획득하여야 한다.
즉 ISMS 예비인증 취득 → 가상자산사업자 FIU 신고(3개월 내) → 신고 수리(FIU) → ISMS 본인증 취득(6개월 내) → 가상자산서비스 정상 운영의 절차를 거쳐야 하는 것이다. 그런 다음 ISMS 본인증 취득 결과를 본인증 취득 30일 이내에 FIU에 변경신고해야 한다.
한편 과기정통부와 금융분석위(FIU)는 “‘예비인증’을 취득한 후 특정금융정보법상 신고수리된 가상자산사업자가 ISMS 본인증을 획득하지 못했음에도, 마치 ISMS 본인증을 취득한 것처럼 과대홍보·오용하는 경우가 있을 것”이라며 “그런 가상자산사업자의 서비스를 이용할 때 이용자가 피해를 입지 않도록 주의해야 한다”고 당부했다.
이 경우 일반 ISMS 인증과는 다른 ‘예비인증’에 부여되는 인증마크(인증범위, 유효기간 등)를 통해 구별할 수 있다. ‘예비인증’ 해당여부는 사업자 누리집, 한국인터넷진흥원(KISA) 누리집을 통해 확인할 수 있다.
한편 과기정통부는 신규 가상자산사업자 등을 대상으로 새로 도입되는 「예비인증」 제도 절차‧방법 소개, 준비사항·유의사항 등 홍보·안내를 위한 설명회도 개최할 계획이다. 설명회는 7월 27일(수) 한국인터넷진흥원(KISA) 서울청사 3층 대강당(서울시 송파구 중대로 소재)에서 개최되며, 관심 있는 사업자의 경우, 참가신청을 통해 참여할 수 있다. KISA는 가상자산사업자 신고제도 도입 후 중단되어왔던 신규 가상자산사업자의 시장 진입을 위해 ISMS ‘예비인증’ 신청과 심사를 빠른 시일 안에 재개할 방침이다.
* KISA ISMS인증 누리집 주소 (https://isms.kisa.or.kr) * 문의처 : 한국인터넷진흥원 보안수준인증팀 (02-405-5372, isms-p@kisa.or.kr)