국내 최대 암호화폐 거래소 업비트가 한국인터넷진흥원(KISA)으로부터 정보보호관리체계(ISMS) 인증을 획득했다고 26일 밝혔다.
ISMS(Information Security Management System)는 정보통신망의 안정성 확보를 위한 관리적‧기술적‧물리적 보호조치 등 종합적 관리체계에 대한 인증제도이자 글로벌 보안지수의 표준 증표로 역할을 하고 있다.
ISMS 인증 배경은?
“업비트, 지난해 12월 과기정통부 권고 방침에 인증 의무대상 포함”
“국내 4대 암호화폐거래소 중 첫 번째, 검증된 보안 시스템 지속 구축해나갈 계획”
지난해 12월 과학기술정보통신부의 권고로 일정 규모 이상(정보통신서비스 부문 전년도 매출액 100억 이상, 전년도 직전 3개월 동안 정보통신서비스 일일 평균 방문자 100만 명 이상)의 거래소는 ISMS 인증 의무 대상에 포함되고 있다.
이번 ISMS 인증 심사는 총 104개 점검 기준에 253개 항목으로 구성됐다. 업비트는 그동안 금융권 수준의 KYC(Know Your Customer), AML(Anti Money Laundering) 도입과 상장심사원칙 공개 등 투자자 보호와 거래 활성화를 위해 앞장서고 있다.
이번 ISMS 인증은 업비트를 포함, 과기정통부가 의무 대상으로 지정한 4개 거래소 중 첫 번째 사례다. 업비트를 운영하고 있는 두나무는 이번 인증을 통해 서비스 및 고객 정보보호 시스템을 한층 강화하고 더욱 안정적이며 규제 친화적인 거래소로 거듭난다는 계획이다.
이석우 두나무 대표는 “업비트는 올 초부터 높은 수준의 ISMS 시스템 구축을 위해 내부적으로 각고의 노력을 기울여왔다“며 “안전한 거래 환경 및 고객정보 보호를 위해 최고 수준의 보안 전문가들과 함께 검증된 보안 시스템을 계속해서 갖춰 나갈 것“이라고 말했다.
이밖의 사항은?
“ISMS 인증은 지속적 관리와 전사적 보안을 위한 보다 높은 수준의 보안관리 활동”
“2002년 첫 인증서 발급 이후 참여 대상 갈수록 많아져, 현재 580건 인증서 유지 중”
한편 ISMS 인증제도는 지난 2001년 7월 도입된 이후 2015년 12월 정보통신망법 개정을 통해 인증 의무대상이 확대됐다.
인증 의무 대상 세부 항목에는 △전기통신사업법 상 정보통신망서비스를 제공하는 사업자 △인터넷데이터센터(IDC)를 운영하는 집적정보통신시설 사업자 △연간 매출액 또는 세입 등이 1500억 원 이상인 사업자 중 상급종합병원, 재학생 수 1만 명 이상인 학교 △정보통신서비스 부문 전년도 매출액이 100억 원 이상, 3개월 간 일일 평균 이용자수 100만 명 이상인 사업자 등이다.
만약 해당 사업자가 인증을 취득하지 않으면 정보통신망법 제76조에 근거에 3000만 원 이하의 과태료가 부과된다.
ISMS 인증은 신청부터 인증서 수여까지 약 5개월 정도가 소요되는 것으로 알려졌다. 전체 발급현황은 2002년 1건을 시작으로 총 85건, 현재 유지되는 인증서는 580건이다.
한국인터넷진흥원(KISA)은 “ISMS 인증은 정보통신 기술의 발달로 개인정보와 기업·기관 기밀의 탈취 또는 유출 위험을 방지하자는 목적을 가지고 있다”며 “실제로 2012년 통신사 개인정보 유출, 2013년 3·20 사이버공격, 6·25 사이버공격, 2014년 카드사, 2016년 온라인쇼핑몰 개인정보 대규모 유출사고 등 사이버 공격으로 인한 피해 규모가 커지고 있다”고 설명했다.
그러면서 “이러한 피해 발생은 기업 첨단 기술 유출은 물론 기업 신뢰도 하락과 고객 이탈, 주가 하락 외에도 집단소송과 대규모 피해보상 등 사회·경제적 측면에서 큰 문제를 발생시키고 있다”며 “특정 제품이나 일부 조직에 의존하는 정보보호 활동만으로는 기업·기관의 정보보호수준 향상에 한계를 가질 수밖에 없어 일회성 관리와 부분적 보안이 아닌 ‘지속적 관리’, ‘전사적 보안’을 위한 보다 높은 수준의 보안관리 활동을 위해 ISMS 구축을 요구한다”고 덧붙였다.