암호화폐 사업자에 특화된 정보보호 관리체계(ISMS)가 마련된다.
ISMS는 정보통신망의 안전성, 신뢰성 확보를 위해 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계를 평가하는 인증 제도로, 정보통신서비스의 특성에 맞춰 마련됐다.
'특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)'이 통과됨에 따라 암호화폐 사업자에게도 법적 지위가 부여됨과 동시에 ISMS 인증 획득 의무가 생겼다. 그런데 금융 서비스 성격을 지닌 암호화폐 사업자를 대상으로는 현행 ISMS 심사 기준이 충분치 않다고 판단, 특화된 ISMS 심사 기준을 마련한다는 것이다.
과학기술정보통신부와 개인정보보호위원회는 이같은 내용을 포함한 ISMS 및 개인정보보호 관리체계(ISMS-P) 인증 제도 개선을 추진한다고 밝혔다. 이번 제도 개선안에는 ISMS 중복 심사로 인한 기업·기관 부담을 해소하는 내용도 담겼다.
■ISMS 제도 합리화…암호화폐 사업자는 엄격하게, 중소기업은 부담 경감
현재 암호화폐 사업자 중 두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7개사가 ISMS 인증을 획득한 상태다.
과기정통부와 보호위원회는 금융위원회 산하 금융보안원과 협업해 가상자산에 특화된 점검항목으로 지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개를 개발하고, 이달 중 이를 공지해 ISMS 인증 심사에 적용할 예정이다. 이를 통해 기존 심사항목 325개에 추가항목 56개를 합해 총 381개 항목을 점검하게 된다.
정보보호가 중요한 영세·중소기업을 위해 기존보다 경량화한 ISMS 제도도 만든다. 불필요한 비용 소모 없이 기업 스스로 ISMS 인증을 준비할 수 있도록 ISMS 인증 항목을 102개로 줄일 계획이다. 정부는 이를 위해 이달 중 정보통신망법 개정안을 마련할 예정이다.
■수탁사 반복 심사 면제…유사 인증 받으면 일부 심사 항목 생략
ISMS-P에 대한 기업 부담을 경감하기 위해 유사 제도는 통합 운영한다.
그 동안 ISMS-P 인증범위에 콜센터, 택배회사 등 수탁회사의 정보보호 관리체계가 포함돼, 위탁회사들이 ISMS-P 인증을 심사할 때마다 수탁회사는 반복적으로 현장점검을 받는 불편이 있었다.
이에 정부는 수탁회사가 ISMS-P 인증을 획득하는 경우 위탁사들의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정이다. 가령 고객사 3곳을 가진 콜센터의 경우 지금까진 ISMS-P 현장점검을 세 번 받았지만, 앞으로는 한 번만 받으면 된다.
클라우드서비스 보안인증의 경우 ISMS 인증과 유사 인증항목이 다수 존재하는 것을 감안, ISMS 인증 기업이 클라우드 보안인증 신청 시 인증항목 117개 중 63개 항목을 생략할 수 있게 한다. 정부는 인증 안내서를 이달 중 개정해 다음달부터 제도 변경안을 시행한다.
대학의 정보보호 인증 중복 부담도 해소한다. 정부는 교육부가 주관하는 정보보호 수준진단에서 ‘우수(80점)’ 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용을 골자로 하는 정보통신망법 개정을 추진한다. 이달 중 개정안을 입법예고할 예정이다.
관련기사
- 정부, 보안 인증 제도 손질 착수…자율차 특화 체계도 마련2020.09.25
- ISMS-P 도입 1년…"인증 수수료 총 15.7억원 절감"2020.05.07
- 한국은행, 디지털화폐 설계 사업 또 유찰...EY한영과 수의계약 가능성↑2020.10.30
- 비트코인 품은 페이팔에 주목해야 하는 이유2020.10.24
이를 통해 ISMS 인증 의무를 미이행한 13개 대학 중 10개 대학은 올해 교육부 정보보호 수준진단에서 ‘우수’등급을 획득해 ISMS 인증이 면제될 예정이다.
정부 관계자는 “이번 ISMS 및 ISMS-P 제도 개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는데 크게 기여할 수 있다”며 “앞으로도 정부는 현장의 목소리에 귀 기울여 관련 제도 개선과 지원책 마련 등을 통해 기업이나 기관이 정보보호 활동을 하는데 어려움이 없도록 지원을 강화할 것”이라고 말했다.
