가상자산사업자 신고를 위한 ISMS 예비 인증
현재 우리나라는 금융회사가 가상자산 관련 서비스에 실명확인입출금 계좌를 제공할 때 가상자산 사업자의 ISMS 인증 획득 여부를 확인하도록 하고 있습니다. 한마디로, ISMS 인증이 없다면 가상자산 사업을 영위할 수 없다는 뜻인데요.
최근 금융권 및 가상자산 사업에서 더욱 강조되고 있는 ISMS와 VASP가 무엇인지, 그 의미와 중요성에 대해 같이 알아보겠습니다.
ISMS 인증 및 예비 인증 제도
정보보호 관리체계 인증(Information Security Management System, ISMS)는 한국인터넷진흥원(KISA)의 주관 하에, 주요 정보 자산을 보호하기 위한 기업의 일련의 조치와 활동이 인증기준에 적합한지를 증명하는 제도입니다.
사이버 공격으로 인한 피해 사례와 규모가 점점 늘어나면서 정보보안은 매우 중요한 과제가 되었는데요. 기업은 ISMS 인증을 취득함으로써 법적 규제를 준수하고 고객 정보를 안전하게 관리하고 있다는 사실을 인정받을 수 있습니다. 또한 기업 내부의 핵심 정보 자산을 보호하고, 외부 해킹에 의한 기밀 유출을 예방하기 위해서도 ISMS 인증은 꼭 필요합니다.
전기통신사업법과 정보통신망법에 따라 ISMS 인증 취득 의무 대상자는 다음과 같습니다. 전기통신망서비스를 제공하는 사업자, 일반 기업 중 정보통신서비스 부문 전년도 매출이 100억 원 이상인 경우, 연간 매출 또는 세입이 1,500억 원 이상인 상급종합병원 등 여러가지 조건 중 단 하나라도 해당된다면 ISMS 인증을 받아야 합니다.
그런데 신규 가상자산 사업자의 경우, 마찬가지로 ISMS 인증이 필요하지만 받을 수 없는 아이러니한 상황이 발생하는데요. 새롭게 서비스를 영업하고자 하는 가상자산 사업자에게 ISMS 인증을 받기 위한 조건으로 2개월 이상의 서비스 실적을 요구하는 제도적 충돌이 있기 때문입니다. 이에 대한 대책으로 도입된 것이 ISMS 예비 인증 제도입니다. 가상자산 사업자는 ISMS 예비 인증 절차를 통해 실서비스를 운영하기 전인 시험운영 환경에서 정보보호 관리 체계를 점검 받아 예비 인증을 먼저 취득하고, 이후 본인증을 취득할 수 있습니다.
*ISMS 예비 인증: 신규 시장 진입 촉진 및 신산업 발전을 위해 가상자산 사업자를 대상으로 마련된 ISMS 인증 특례 제도.
가상자산사업자(VASP) 라이선스
결국 ISMS 예비인증은 가상자산사업자(Virtual Asset Service Provider, VASP) 라이선스를 받기 위해 꼭 필요한데요. 국내 VASP 라이선스를 취득 하려면 ISMS, PIMS(개인정보 보호 관리체계), AML(자금세탁방지), CFT(테러자금조달방지) 등 인증을 받은 뒤 금융정보분석원(FIU)에 신고해 영업 인증을 받아야 합니다. 쉽게 말해, 모든 회사정보 및 고객정보를 정부기관에 보고하고 관리를 받는다는 뜻입니다.
가상자산사업자 신고 제도는 2021년 3월 25일 특금법(특정 금융거래정보의 보고 및 이용 등에 관한 법률)이 개정 됨에 따라, 가상자산 사업자에게 자금세탁방지 의무를 부과하고 관리감독하기 위한 목적으로 본격 시행 되었습니다. 여기서 가상자산 사업 영역은 암호화폐를 매수•매도하는 행위, 다른 가상자산과 교환하는 행위, 가상자산을 이전하는 행위, 또는 이를 보관 및 관리하는 행위 등을 포함하고 있습니다.
따라서, 위 사업 범위에 포함된 가상자산 사업자는 VASP 신고 수리를 받아야만 관련 서비스를 영업할 수 있는데요. 여기에 ISMS 예비 인증 제도가 도입 됨으로써 신규 가상자산 사업자도 VASP 신고 수리를 받는 요건을 충족할 수 있게 된 것입니다.
ISMS 와 VASP 취득 의미, 그 후
한국인터넷진흥원(KISA)에 의하면, 현재 ISMS 인증을 획득하고 VASP 신고 수리를 완료한 가상자산 사업자는 코인원, 빗썸, 코빗, 업비트, 캐셔레스트, 헥슬란트 등이 있습니다. 아직 디지털자산 시장에 대한 규제가 미흡한 상황이지만, 더욱 체계적인 업계로 발전시키기 위한 여러 조건들이 의무화 되면서 앞으로도 더 많은 가상자산 관련 사업자들이 인증을 받을 것으로 예상됩니다.
반대로, 이러한 필수 요건들을 계속 충족하지 못한다면 가상자산 사업자로서 입증해야 할 보안 수준을 기대하기 어렵다는 의미가 되기도 합니다.
지난 5월 10일, 헤이비트는 정해진 절차를 완수하고 ISMS 예비 인증을 취득했습니다. 이로써 헤이비트는 고객 정보 및 컴플라이언스 관련 규정을 준수하고자 하는 노력을 공식적으로 인증받았으며, 가상자산사업자 라이선스 취득을 위한 조건을 갖추게 되었다고 할 수 있습니다. 이를 기반으로 헤이비트는 ISMS 본인증과 VASP 신고 수리 절차까지 차질 없이 완료하여, 더욱 신뢰할 수 있는 디지털자산 재테크 선도주자로 성장하기 위해 앞으로 나아갈 것입니다.