[내외경제TV] 정동진 기자=#1 원화 마켓을 열려고, ISMS 준비하면서 들어간 비용과 시간 생각하면 이 정도면 미팅이라도 해야 하는 것 아닙니까. 그런데 ISMS와 ISMS-P와 ISO도 모자라 바스프 전용으로 최초 심사받는 거 너무한 거죠. - ㄱ 거래소 대표"
#2 전사적으로 AML 자격증 보유했으면 뭐 하죠, 코인마켓으로 직원들 월급 주는 것도 한계가 왔다. 업계 특성상 재택도 힘든 와중에 언제까지 기다려야 되는지 모르겠다. 이렇게 할 거면 메이저 거래소만 남긴다고 말하는 게 편하죠. - ㄴ 거래소 이사"
"#3 솔직히 원화마켓 포기하고, 저희도 덱스(DEX)로 돌리거나 해외에 법인 만들어서 그쪽에 터를 잡는 게 나중을 위해 이득입니다. 하지만 제도권 진입에 가점이라고 받겠다고 토론회나 인터뷰 열심히 하는 게 아무런 소용이 없어요. - ㄷ 거래소 상무"
위의 이야기는 국내 암호화폐 거래소 업계에서 이전부터 나오던 볼멘 목소리다. 비록 금융정보분석원에 신고 수리된 바스프지만, 정작 회사 매출과 직결되는 원화마켓을 개설할 수 없어 버티기도 한계가 도달했다는 게 업계 관계자들의 전언이다.
국내에서 영업 중인 거래소를 포함해 금융정보분석원에 등록된 바스프는 총 36곳으로 이들의 발목을 붙잡는 것은 실명계좌 발급 심사에 통과된 후 원화마켓 거래쌍을 개설하는 게 생존 방식이다.
하지만 특금법 시행 전부터 정보보호관리체계(ISMS, Information Security Management System) 일련번호를 획득했지만, ▲2020년 11월 2일, 가상자산사업자 전용 ISMS 세부점검 항목 ▲2022년 8월 11일, 가상자산사업자 예비인증 신청 ▲2022년 8월 30일, ISMS 예비인증 신청 접수 등 일련의 과정을 겪으면서, 거래소의 부담만 증가했다.
KISA 관계자는 "ISMS 인증제도는 일회성 점검결과에 따라 누락되었는지, 적절한지 판단하는 제도가 아니며 지속적인 정보보호 활동이 체계적으로 운영될 것을 요구하는 제도"라며 "정보보호 활동 중 세부적인 사항 하나하나에 대해 옳고 그름을 판단하는 제도가 아니며, 우선 기업이 주기적으로 자체 점검을 관리하는 체계로서 운영되어 문제점을 찾고 보완하는 구조"라고 강조했다.
정보통신망법 제47조 2항에 따르면 ISMS인증 의무 대상자는 심사일 기준 전년도 ▲하루 평균 이용자 수가 100만 명 이상 ▲매출액이 100억 원 이상 중 하나라도 해당하면 의무로 받아야 한다.
이와 별도로 자율신청자는 임의 신청자로 분류돼 ISMS 불이익은 없지만, 국내 거래소 업계는 무형의 불이익을 우려해 기존 ISMS와 ISMS-P 심사(최초, 갱신, 사후)와 바스프 최초 심사 대상으로 분류된다.
특히 사후 심사를 진행하면서 ISMS 심사가 아닌 고객자산 분리 항목과 같은 핫월렛과 콜드월렛 등 56개 항목을 별도로 심사한다. 이는 법에 명시된 ISMS 심사보다 많은 항목을 점검, 전형적인 탁상행정이라는 비판이 이어지고 있다.
현행 법상 ISMS는 일반적으로 사후심사 기간은 1주~최대 2~3주로, 기간은 심사 대상 기업의 규모에 따라 달라진다. 또 인원은 심사팀으로 구성, 대상기업 규모에 따라 3인~8인 등으로 다양하다.
KISA 관계자는 "(거래소 전용 ISMS)는 관련 법률상 공개된 정보 이외에 특정 기업의 ISMS 인증형태와 심사계획에 대한 확인을 드리기 어렵다"고 설명해 업계의 혼선은 현재 진행형이다.
