6일 비아이뉴스 보도에 따르면 고팍스와 한빗코는 홈페이지 하단에 ISMS 표시를 위반해 한국인터넷진흥원(KISA)의 시청 조치 명령 대상에 해당됐다. 현재 ISMS 인증을 받은 국내 암호화폐 거래소는 6곳으로 보도 당시 고팍스와 한빗코를 제외한 4대 거래소(빗썸, 업비트, 코인원, 코빗)는 홈페이지 하단에 현행법에 따른 ISMS 인증 표시를 하고 있다.
ISMS 인증 획득 업체는 인증 마크 표시 의무가 없지만, 표시하는 경우 정보통신망법 제32조와 제34조를 따라 ‘인증범위와 유효기간’을 반드시 표시해야 한다. 매체는 “인증범위 표기 의무에 따라 고팍스는 암호화폐 거래소 운영, 한빗코는 암호화폐 거래소 서비스(원화거래 및 심사받지 않은 물리적 인프라 제외) 운영을 표기해야 한다”고 말했다.
언론은 “KISA 관계자는 ‘고팍스와 한빗코는 빗썸과 코빗처럼 인증 여부를 아예 표기하지 않거나 코인원처럼 마크의 액션 효과로 표기해야 한다’고 했다며 ‘조만간 인증표시 위반과 관련된 내용을 통보할 것’이라고 말했다”고 전했다.
▲ 고팍스와 한빗코 홈페이지 하단에 나타난 ISMS 인증(사진출쳐=고팍스·한빗코 홈페이지)
보도 이후 고팍스와 한빗코 홈페이지 하단에는 현재 ISMS 인증 표시가 있다. 고팍스에는 인증 마크만 나타나있으며, 한빗코는 인증범위와 유효기간까지 표시하고 있다. 한빗코의 ISMS 인증범위는 “암호화폐 거래소(한빗코) 운영 (원화거래 제외, 심사받지 않은 물리적 인프라 제외)”이며 유효기간은 지난해 5월 27일부터 오는 2022년 5월 26일까지이다.
고팍스 관계자는 ISMS 인증이 왜 누락되었냐는 질문에 대해 “전산 서비스 업데이트 시 실수로 누락됐다”며 “고의로 그런 것은 아니며 기사 보도 후 ISMS 인증 표시를 재개했다”고 설명했다. 그는 “이후 KISA로부터 시정 조치 관련 연락을 따로 받지는 않았다”며 “고팍스는 보안 강화에 최선을 다하고 있다. 심려를 끼쳐드려 죄송하다”고 말했다.
한빗코 관계자 역시 “ISMS 인증은 실수로 누락된 것”이라며 “미처 생각하지 않았던 부분인데 보도된 기사를 보고 인증 표시했다”고 말했다. 한빗코 역시 KISA에서 별도로 시정 조치에 대한 통보는 받지 않았다고 밝혔다.
관계자는 “KISA는 보통 ISMS 인증 만료 시 표시를 삭제해야 하는데 안했다거나 허위로 표시했다거나 인증이 취소된 경우에 인증 표시를 방치하면 과태료를 300만원 정도 내라고 고시한다”며 “일시적인 인증 표시 누락으로 과태료를 내야 하는 경우는 별로 없다”고 설명했다. 한빗코는 지난 3월에 ISMS 인증 사후심사를 받았다. ISMS 인증을 유지하려면 매년 사후심사를 진행해야 한다.
한편, 고팍스는 국내 거래소 중 최초로 ISMS 인증을 받았으며 한빗코는 지난해 거래소 중에서 6번째로 ISMS 인증을 취득했다. 한빗코 이후로 ISMS 인증을 획득한 거래소는 현재까지 없는 상황이다.
◆ ISMS 인증이 뭐길래?
ISMS는 한국인터넷진흥원(KISA)이 인증하는 제도이다. 해당 인증은 기업이 보유하고 있는 기업정보, 산업기밀, 개인정보 등의 주요 정보자산이 안전하고 신뢰성 있게 관리되고 있다는 것을 국가에서 공인했다는 것을 뜻한다.
내년 3월 시행 예정인 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 일부 개정안’에 따르면 거래소와 같은 가상자산사업자는 ISMS 인증을 취득해야 한다. 가상자산사업자는 법률 시행일에서 6개월, 즉 내년 9월까지 해당 인증을 취득하고 신고해야 한다.
이미 ISMS 인증을 취득한 6개 거래소 외에 현재 후오비 코리아, 캐셔레스트, 포블게이트 등이 ISMS 인증 심사를 앞두고 있다는 사실이 알려졌다. 오케이엑스코리아는 지난 4월 특금법 시행에 대비해 원화마켓을 일시적으로 종료하고 ISMS 인증 획득을 위해 몰두하고 있다.
