들어가며
신규 가상자산 사업자(VASP)를 위한 정보보호 관리체계(ISMS) 예비 인증이 도입 되었습니다.
이로써 기존 특금법과 정보통신망법의 충돌로 인해 정상적인 방법으로는 ISMS 인증 취득이 불가능했던 기업들도 활로를 찾을 수 있게 되었습니다.
하지만 실제 신고를 준비하고 있는 기업들은 이러한 개선방안이 완전하지 못하다는 의견을 내놓고 있습니다. 그렇다면 여전히 신규 기업들에게는 뚜렷한 해결책이 없는 것일까요?
자세한 사항에 대해 유스비에서 알아보았습니다 
가상자산 사업자 신고 필수요소 : ISMS 인증
우선 쟁점이 되고 있는 ISMS 인증이란 무엇일까요? ISMS는 정보보호 관리체계 인증으로서 Information Security Management System의 앞글자를 따온 것입니다.
한국인터넷진흥원(KISA)에서 기업들에게 부여하고 있는 인증제도이며 중요한 정보자산을 취급하는 서비스들이 적절한 수준의 보안 체계를 가지고 있는 지 심사하고 있습니다.
가상자산 서비스들은 정보자산을 취급하는 대표적인 업종으로서, 그렇기 때문에 가상자산 사업자 신고를 위해서는 ISMS 인증 취득이 필수입니다.
그 외에도 정보통신망 서비스를 관리하는 사업자, 서버 호스팅 서비스와 같이 집적된 정보통신 서비스를 제공하는 사업자, 대형 쇼핑몰과 같이 연간 매출액 1500억이 넘는 서비스들도 의무적으로 취득할 필요가 있습니다.
신고 뿐만 아니라 지속적인 관리가 중요한 영역이기 때문에 KISA에서는 조만간 국내 가상자산 사업자들을 대상으로 특별점검을 실시할 것이라고 밝혔습니다.
관련 기사
문제점 : 특금법, 정보통신망법의 충돌과 모순
하지만 최근까지는 대부분의 신규 가상자산 사업자들이 정상적인 방법으로 ISMS 인증을 취득하고 신고를 마칠 수 없었습니다.
바로 사업자들이 준수해야하는 두 법안의 충돌로 인한 문제가 있었기 때문입니다.
특정금융정보법(특금법) 상으로는 가상자산 사업자 영업을 위해 ISMS 인증이 필수 조건이며 이를 충족하지 못할 시 신고를 수리받지 못합니다.
특정 금융거래정보의 보고 및 이용 등에 관한 법률
제7조(신고)
제 3항 금융정보분석원장은 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자에 대해서는 대통령령으로 정하는 바에 따라 가상자산사업자의 신고를 수리하지 아니할 수 있다.
1. 정보보호 관리체계 인증을 획득하지 못한 자
하지만 아이러니하게도 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신법)에서는 최소 2개월 이상의 실제 서비스 운영 실적을 가져야만 ISMS 인증을 부여할 수 있다고 명시하고 있기 때문입니다.
즉, 신규 사업자들이 인증 취득을 위해서는 불가피하게 2개월 이상 불법영업을 해야만 하는 상황이었습니다.
이러한 모순을 해결하기 위해 올해 7월 도입된 것이 바로 ‘ISMS 예비인증 특례’ 입니다.
해결책 : 예비인증을 통한 서비스 운영 임시 허가
ISMS 예비인증 특례는 위의 문제를 극복하고 신규 가상자산 사업자의 시장 진출 기회를 보장하기 위해 만들어졌습니다.
신규 가상자산 사업자들은 ‘ISMS 예비인증’의 세부 점검항목(본인증 290개 중에서 196개, 67.5% 확인)에서 통과될 시 예비인증 자격이 부여되어 특금법상 가상자산사업자로서 신고할 수 있게 됩니다.
이후 서비스 운영을 통해 쌓은 실적을 바탕으로 본 인증을 취득할 수 있게 되고 이후 변경신고를 하는 방식으로 두 법안의 문제를 해결할 수 있게 됩니다.
ISMS 예비인증 유의사항
① ISMS 예비인증 취득 가상자산사업자는 예비인증 취득 후, 3개월 이내에 FIU에 특정금융정보법 상 가상자산사업자 신고를 완료해야 한다.
② 이후, FIU에서 신고수리 되면, 가상자산사업자는 실제 가상자산서비스를 제공할 수 있게 된다. 다만, FIU에 가상자산사업자로서 신고수리 완료된 이후 2개월 이상 운영한 데이터를 바탕으로 반드시 6개월 이내에 ISMS 본인증을 신청하고, 본인증을 획득하여야 한다.
③ 끝으로, ISMS 본인증 취득 결과를 본인증 취득 30일 이내에 FIU에 변경신고해야 한다.
추가로, ISMS 예비인증의 경우 기존 인증마크와는 달리 상단에 ‘예비인증’이라는 표시가 존재하며 KISA 측에서는 반드시 예비인증과 본인증의 표시를 달리하여 사용자들의 혼동이 없도록 할 것을 권고하고 있습니다.
ISMS 본인증 마크(왼쪽)와 예비인증 마크(오른쪽)
또 다른 문제점?
하지만 이러한 해결책에도 불구하고 여전히 신규 사업자들은 ISMS 인증 관련하여 난항을 겪고 있다고 합니다.
예비인증 취득과정에서도 필수로 심사하게 되는 인프라, 보안장비, 서비스 시연에 대한 부분과 망분리, DB 접근제어, 보호구역 관리 등의 조건이 공유오피스를 이용하는 경우가 많은 신규 사업자들에게 버겁게 느껴진다는 것입니다.
하지만 예비인증 후에도 결국 본인증 취득을 위해 물리적 보안환경 조성이 필요하기 때문에 현재 수준 이상으로 규제 차원에서의 개선을 기대하기는 어렵다는 의견도 존재합니다.
또한 물리적 서버를 이용하지 않고 클라우드를 활용하는 기업들의 보안성도 중요한 체크포인트가 될 것으로 보입니다.
“물리적 서버 없이 클라우드를 이용하는 경우에도 해당 환경을 고려하여 심사, 인증을 진행할 것이며 운용환경을 고려할 것”이라는 과기정통부 관계자의 발언에 따라 클라우드를 이용하는 사업자들도 적절한 보안성만 갖춘다면 예비심사에서 승인을 받는 것에 큰 문제는 없을 것으로 보입니다.
그렇기 때문에 금융 클라우드를 통한 운영이 이번에 또다시 주목받을 것으로 보입니다.
클라우드 방식임에도 탁월한 보안성과 탄력적인 과금이 가능하기 때문에 대부분의 신규 서비스들에게는 설치형(On-Premise) 보다는 SaaS(Software as a Service) 방식이 인기를 끌 것으로 예상됩니다.
실제로 KYC(고객확인제도)와 같은 주요 기능 구현에 있어서도 많은 사업자분들이 SaaS 방식의 ‘유스비 eKYC 솔루션’을 선호하고 있습니다.
관련 포스팅
마치며
이번 ISMS 예비인증의 도입으로 인해 신규 가상자산 서비스 창업의 진입장벽이 조금은 완화될 수 있을 것으로 예상됩니다.
특히 법적 모순으로 인해 불법 영업이 강제되는 상황이 해결되었다는 사실 자체가 신규 사업자들에게는 반갑게 다가올 것 같습니다.
유스비는 ISMS 외에도 VASP 신고에 있어 필수로 구현되어야 하는 AML / KYC 솔루션과 콘텐츠들을 제공하고 있습니다.
만약 이번 기회에 가상자산 사업자 신고를 준비중인 분이시라면?
유스비를 찾아주시기 바랍니다. 어떤 형태로든 도움을 드릴 수 있도록 노력하겠습니다.
감사합니다 :)
레그테크, AML 솔루션 전문기업 유스비에서 뉴스레터 구독자를 모집 중입니다!
다양한 산업군의 규제를 극복하기 위한 가이드북과 AML 지식 콘텐츠, 성공사례와 인사이트 정보들을 전달해드립니다.
변화하는 규제 환경에 대해 가장 빠르게 대처하고 싶으시다면?
지금 바로 유스비 뉴스레터를 구독해주세요!
유스비의 마케팅 매니저로서 고객사를 위한 다양한 콘텐츠와 캠페인을 기획합니다.
규제 문제에 대한 고민을 함께 해결하기 위해 노력합니다.
유스비 홈페이지에 문의 남기기