KISA "가상자산사업자 ISMS 인증, '지갑 보안'이 핵심"

2020-11-18 20:37
11월 강화된 심사 요건 설명…내년 3월 특금법 대비

가상자산사업자들이 정보보호관리체계(ISMS) 인증을 취득하려면 정보시스템 운영과 보안 정책에서 가상자산 보관·이전을 처리하는 '지갑(wallet)'의 안전을 최우선시해야 한다. 국내 ISMS 인증제도 담당기관인 한국인터넷진흥원(KISA)이 직접 밝힌 ISMS 인증심사의 주안점, 즉 '출제의도'다. 가상자산 매매를 중개하는 거래소, 타인의 가상자산을 맡아 주는 수탁업, 자산 이전·관리용 지갑서비스 등을 제공하는 '가상자산사업자'는 이에 맞춰 ISMS 인증심사를 준비하라는 조언이다.

이태원 KISA 보안수준인증팀 책임은 18일 서울청사 설명회에서 ISMS 인증을 준비하는 가상자산사업자들에게 "(인증심사에서) 콜드월렛과 핫월렛이 안전한가가 제일 중요한 포인트"라며 "그게 없어지면 모든 이용자·기업의 자산이 사라진다는 전제로 이같은 심사 주안점을 두고 있다고 보면 된다"고 말했다. 이 설명회는 가상자산사업자들에게 ISMS 인증제도의 내용과 절차를 소개하고 이들이 인증심사를 통과하기 위해 필요한 정보를 제공하는 자리로 마련됐다.
 

[사진=임민철 기자]


가상자산사업자들에게는 내년 3월 시행되는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 특금법)'으로 ISMS 인증 취득이 의무화된다. 사업자들은 ISMS 인증을 받아야 금융위원회 금융정보분석원에 사업자 신고를 할 수 있다. 인증을 취득하지 않으면 신고 수리를 거부당할 수 있다. 금융회사도 가상자산사업자인 고객의 ISMS 인증 취득 여부를 확인할 의무를 부과받았다. ISMS 인증을 취득하지 않은 가상자산사업자들은 사실상 정상적인 영업을 할 수 없게 될 전망이다.

여전히 대다수 가상자산사업자들은 ISMS 인증 자체를 생소해하고, 앞서 ISMS 인증을 취득한 소수의 대형 가상자산사업자들도 앞으로 인증을 유지하려면 더 많은 노력을 기울여야 한다. 이달부터 가상자산사업자 대상으로 더 강화된 ISMS 인증심사기준 및 신설된 세부점검항목이 시행되고 있기 때문이다. 가상자산사업자들은 일반 세부점검 항목보다 관리·물리·기술·금융 분야별로 추가된 56개 세부점검 항목을 포함해 총 381개 세부점검 항목으로 인증심사를 받게 된다.

가상자산사업자 대상 ISMS 인증의 범위는 크게 물리적 인프라와 온라인 서비스 영역으로 나뉜다.

물리적 인프라에는 기업의 일반 임직원들이 근무하는 사무실, 사내 네트워크와 IT인프라를 운영하는 서버실·패치룸, 콜드월렛 보관금고나 핫월렛 작업 PC 등이 있는 월렛룸·클린룸, 고객센터, 그리고 각 물리적 인프라 출입통제와 접근관리를 위한 지문인식 등 보안장치 및 CCTV가 포함된다. 여기서 고객센터는 '개인정보보호' 관리체계를 함께 다루는 ISMS-P 인증대상에 포함되나, 일반 ISMS 인증시에는 제외된다.

온라인 서비스에는 암호화폐거래소 웹사이트, 모바일앱이나 인터넷으로 제공되는 API 서버 등 외부에 공개돼 서비스를 제공하는 모든 영역이 포함된다. 이 때 기업이 가상자산과 무관한 쇼핑몰 등 운영을 겸하고 있고, 네트워크상 가상자산 서비스와 연동이 전혀 돼 있지 않다면 그 영역은 인증 대상에서 제외된다. 또 온라인 서비스 운영을 위한 내부 IT관리자, 월렛관리자 영역의 개발도구, 키관리시스템, DB은 인증 대상이며, 순수 내부 업무용 그룹웨어와 사내 메일 등은 제외된다.

세부적으로 암호화폐거래소같은 서비스에서 개인정보처리방침과 고객센터 등은 일반 IT인프라 운영 기업과 동일한 기준을 적용받는데, 국내 사업자 가운데 젠데스크같은 해외 업체의 온라인고객센터 솔루션을 쓰는 경우는 사업자에게 주의가 요구된다. DB 자체가 해외에 있는 사업자의 서비스를 쓸 경우 개인정보 처리와 관련된 국내 규제 준수에 어려움이 따를 수 있다는 이유에서다. 관련 요건으로 휴면계정 처리, 정보 분리보관과 망분리 의무, 로그 보관 등을 들 수 있다.

이 책임은 핫월렛과 콜드월렛의 암호화폐 보관 비중에 대해서도 언급했다. 거래소 회원사들 중심으로 결성된 한국블록체인협회의 가이드라인은 3대 7(핫월렛 대 콜드월렛)로, 핫월렛 비중을 가급적 적게 하도록 권고하고 있다. 이 책임은 "기존 인증의무대상 사업자들은 규모가 큰 곳이어서 1대 9 또는 0.5대 9.5였다"며 "월렛이 가장 중요한 자산인만큼 시스템에 접근을 최소화하고 자연재해나 월렛 키를 분실 및 소지자 사고로 복구할 수 없는 경우에 대비해야 한다"고 조언했다.

핫월렛에 대해서는 접근 인원을 최소화할 것, 누군가 접근시 담당 관리자에게 '알람'을 보내는 등 모니터링 시스템을 갖출 것을 권고했다. 핫월렛과 콜드월렛 간 자금 이체시 악성코드 등 감염된 기기에선 잘못된 지갑 주소로 송금을 해 큰 손실을 입을 가능성이 있음을 지적하며, 소액을 먼저 이체한 뒤 정상 지갑 주소임을 확인한 뒤 전액을 이체하는 안전절차 등을 갖추도록 했다. 키 관리 보안을 강화하는 '멀티시그' 기술을 적용하거나, 그에 상응하는 보호 조치를 적용하도록 했다.

콜드월렛에 대해서는 이를 보관하는 금고 등 물리적 영역의 관리에 초점을 맞췄다. 핵심은 보관돼 있는 자산에 상응할만큼 자산을 보호하는 데 투자하라는 것이다. 또 콜드월렛이 금고 등에 보관된 형태라면 금고실의 출입 권한과 금고 열쇠 사용 권한 등을 분리하는 식의 권한 분리가 필요하다. 또한 물리적인 자산에 접근한 내역은 DB에 연동되지 않는만큼, CCTV를 설치하고 출입대장으로 내역을 작성하는 등 방식으로 보완해야 한다.

이용자보호 차원의 조치 여부도 권고 수준에서 점검한다. 예를 들어 기기의 하드웨어 주소(MAC어드레스)를 기준으로 어떤 이용자가 새로운 기기로 서비스에 접속했다면 이를 알리는지 보는 것이다. 출금 금액 측면으로도 소액 위주였던 출금 단위가 갑자기 대폭 커졌다거나 하는 '이상징후'를 인식하거나, 해커의 근거지 또는 경유지인 중국·러시아·북한 등의 접근시 경고하거나, 일반 회원가입, 본인인증, 신분증인증 등 단계별로 이체권한을 나누는 식의 조치가 권장된다.