과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 그간 신규 가상자산사업자의 시장진입을 가로막았던 제도적 공백을 해소하고자, 정보보호 관리체계(이하 ’ISMS‘) 예비인증을 도입하는 내용으로 고시를 개정하여 7월 21일 시행에 들어간다고 밝혔다.

ISMS(Information Security Management System)는 기업이 주요 정보자산 보호를 위해 구축‧운영중인 정보보호 관리체계(예, 보안정책‧인력‧장비‧시설 등)가 인증기준(관리적·기술적·물리적)에 적합한지를 인증하는 제도다. 

가상자산사업자는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’(이하 ’특정금융정보법‘) 개정에 따라, △ISMS 인증 등의 신고요건을 갖춰 △금융정보분석원(이하 ‘FIU’)에 신고 수리 된 경우에 한해 영업이 가능 하지만, 정보통신망법에 따른 ISMS 인증 취득을 위해서는 최소 2개월 이상 서비스운영 실적이 필요하여 사실상 두 제도 간 상충으로 신규 사업자 신고가 불가한 법적 사각지대에 놓여 있었다.

이런 문제점을 해결하기 위해 작년 말부터 과기정통부는 국무조정실, 금융위(FIU) 등 관계부처와 실무협의를 거쳐 지난 2월 ISMS 예비인증 제도를 도입키로 하였고, 그간 관련 고시(ISMS 인증 등에 관한 고시) 개정을 추진해 왔다.

이번 고시개정으로 특정금융정보법이 시행된 후, 서비스 운영 실적을 쌓을 수 없어 시장 진입이 불가한 상황이었던 신규 가상자산사업자는 ISMS 예비인증 세부 점검항목 심사통과 시 예비인증 취득이 가능하여 특정금융정보법상 가상자산사업자 신고요건을 갖출 수 있게 되었다.

예비인증은 ISMS 인증기준(80개)에 따라 심사가 수행되며, 가상자산 세부점검항목(290개)중 196개 항목(67.5%)을 중점 점검한다. 

이로써 향후, 신규 가상자산사업자는 시험환경을 구축, ISMS 예비인증을 취득할 수 있게 되었다. 

다만, 아래 조건에 유의하여야 한다.

① ISMS 예비인증 취득 가상자산사업자는 예비인증 취득 후, 3개월 이내에 FIU에 특정금융정보법 상 가상자산사업자 신고를 완료하여야 한다.

② 이후, FIU에서 신고수리 되면, 가상자산사업자는 실제 가상자산서비스를 제공할 수 있게 된다. 다만, FIU에 가상자산사업자로서 신고수리 완료된 이후 2개월 이상 운영한 데이터를 바탕으로 반드시 6개월 이내에 ISMS 본인증을 신청하고, 본인증을 획득하여야 한다.

③ ISMS 본인증 취득 결과를 본인증 취득 30일이내에 FIU에 변경신고하여야 한다.

과기정통부, 금융위(FIU)는 예비인증 취득 후 특정금융정보법상 신고수리된 가상자산사업자가 ISMS 본인증을 획득하지 못했음에도, 마치 ISMS 본인증을 취득한 것처럼 과대홍보·오용하는 가상자산사업자 서비스 이용시 이용자가 피해를 입지 않도록 각별한 주의를 당부했다.

일반 사용자는 일반 ISMS 인증과는 다른 예비인증에 부여되는 인증마크(인증범위, 유효기간 등)를 통해 구별할 수 있으며, 예비인증 해당여부는 사업자 누리집,  한국인터넷진흥원(KISA)을 통해 확인 가능토록 할 예정이다.

또 신규 가상자산사업자 등을 대상으로 새로 도입되는 예비인증 제도 절차‧방법 소개, 준비사항·유의사항 등 홍보·안내를 위한 설명회도 개최할 계획이다.

설명회는 7월 27일 한국인터넷진흥원 서울청사 3층 대강당에서 개최되며, 관심 있는 사업자의 경우, 참가신청을 통해 참여가 가능하다.

KISA는 가상자산사업자 신고제도 도입 후 중단된 신규 가상자산사업자의 ISMS 예비인증 신청 및 심사를 빠른 시일 안에 재개할 방침이다.

과기정통부는 “금융위 등 관계부처와 협력하여 새로운 가상자산사업자의 시장진입을 지원하는 한편, ISMS인증을 획득한 가상자산사업자 대상의 주기적 사후관리 및 보안관리 체계 유지도 지속 추진해나가겠다”라며 “앞으로 디지털 전환, 비대면 근무 등 기업의 업무환경 변화와 신기술 발전을 고려한 제도 개선을 위해 더욱 노력 하겠다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★