[비트 칼럼] 가상자산사업자에 대한 ISMS인증 예비인증제도 도입

Article posted in 2022-05-24 16:34:35 | VEAT

암호화폐 거래소를 운영하거나, 암호화폐 월렛서비스, 보관소 등을 운영하는 경우, 이는 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」(이하 “특정금융거래법”) 상의 “가상자산사업자”에 해당하며, 제7조 제1항에 따른 가상자산사업자 신고를 하기 위해서는 「정보보호 및 개인정보보호 관리체계인증 등에 관한 고시」(이하 “ISMS 인증 고시”)상의 정보보호관리체계 인증(이하 “ISMS 인증”)을 받아야 합니다.


개정 전ISMS 인증 고시는 인증을 받기 위하여는 정보보호 관리체계 인증은 관리체계 구축 후 최소 2개월 이상 운영하여야 인증심사가 가능하였습니다. 그런데, 특정금융거래법은 가상자산사업자로서 영업을 시작하기 전인, 신고 단계에서 ISMS 인증을 받을 것을 요구하였으므로, 2개월 이상의 운영기록을 제출하는 것은 불가능한 사항이었습니다. 


이에 과학기술정보통신부는 가상자산사업자로 신규 사업을 개시하려는 자에 대해 “예비인증” 제도를 신설하여, 정보보호 관리체계를 2개월 운영한 이력이 없는 경우에는 “예비인증”을 먼저 받도록 하고, 예비인증 취득일로부터 3개월 이내에 특정금융거래법 상의 가상자산사업자 신고를 하도록 하며, 가상자산사업자 신고가 수리된 이후 6개월 이내에 ISMS 본인증을 받도록 규정하였으며, 이를 2022. 3. 31. 행정예고 하였습니다. 


 

또한 ISMS 예비인증의 경우에는 ISMS 본인증과는 달리, 시험운영을 통해 정보보호 관리체계가 적합한지에 대해 확인할 수 있는 범위로 한정하므로, 아직 세부기준은 행정예고 하지 않았으나, ISMS 본인증의 인증기준(ISMS 고시 [별표 7] 인증기준 참조) 보다는 간소화한 인증기준이 적용될 것으로 예상됩니다. 


따라서 가상자산사업을 시작하려는 사업자는 ISMS 예비인증 획득을 위한 정보보호관리체계를 구축하여야 하며, 사업시행예정일에 맞게 전문가를 통한 ‘가상자산사업자 ISMS 인증 컨설팅’을 받은 후, 인증을 신청하도록 하는 것이 적절하겠습니다. 

 

또한 ISMS 예비인증 이후에도, 특정금융거래법상 사업 신고절차, ISMS 본인인증 절차를 거쳐야 하므로, 이에 대한 준비도 지속적으로 추진하여야 할 필요가 있습니다. 

 

가상자산사업자를 시작하는 사업자로서는 사업모델 개발과 시스템 구축에 엄청난 어려움을 겪게 됩니다. 이에 더하여 가상자산사업자 신고와 ISMS 인증 등 법률사항을 만족하는 것이 매우 어렵게 느껴질 수 있습니다. 특히 ISMS 인증의 세부사항은 법률과 기술사항이 각각 관리적, 기술적 인증기준이라는 이름으로 부여되어 있어, 이를 만족하기 위해서는 ISMS 인증 사례 등을 확인하면서 진행하는 것이 좋겠습니다. 

 

본 칼럼의 저자인 법무법인 비트의 백승철 파트너 변호사는 대한변호사협회 전문분야등록심사위원회의 까다로운 심의를 거쳐 "IT 전문 변호사"로 인증받은 바 있으며, 개인정보보호 및 침해사고 관련 소송을 다수 수행하여 왔습니다. 또한 다양한 기업과 공공기관을 대상으로 한 개인정보보호 및 침해사고 예방 강의를 제공한 경험을 보유하고 있습니다.

 

감사합니다.