가상통화를 취급하는 가상자산 사업자의 신고 마감이 40일쯤 앞으로 다가왔다. 특금법에 따르면 가상자산 사업자는 정보보호관리체계(ISMS) 인증을 획득해야 한다. ISMS를 획득하지 않은 사업자는 신고수리를 거부당할 수 있다.

그러나 업계는 모든 가상자산 사업자들이 ISMS를 획득하기 어려운 구조적 한계를 지적한다. 현재 ISMS 심사는 기존 포털 서비스를 제공하는 사업자에 맞춰 제공되어 왔다. 가상자산사업자는 ISMS 인증시 기본항목 234개에 가상자산사업자에게 부과되는 추가 항목 56개를 더해 총 290개 항목을 심사 받아야 한다.

물론 290개 항목을 무조건 다 맞춰야 인증이 통과되는 것은 아니다. 다만 사업 내용에 따라 적절히 조정이 가능하다고는 하지만 유연성이 크지 않다는 지적이 나온다. 국내 가상자산업자는 은행의 정보보호를 위한 절차와 가상자산에 부과되는 절차를 모두를 갖춰야 인증에 통과할 수 있는 상황이라, 가상자산 사업자에 맞는 별도의 정보 보안 심사 체계가 필요하다는 주장이 나온다.

12일 IT조선이 전국경제인엽합회 컨퍼런스센터에서는 ‘가상자산 법제화 및 개선방안 국회 토론회’를 열었다. 이정엽 블록체인법학회 회장이 토론회 좌장으로 자리한 가운데, 이준행 고팍스 대표와 정지열 자금세탁방지협회장, 이상무 KISA 보안인증팀증 등 국내 가상화폐·금융계 관계자들이 가상자산사업자들에 ISMS 인증을 받도록 하는 제도의 실효성에 대해 논의하는 자리를 가졌다.

정상호 델리오 대표는 소기업과 신생기업들은 ISMS 인증 받는 것이 현실적으로 어렵다고 지적했다. 정 대표는 "KISA의 ISMS 인증을 받기 위해 필요한 장비만해도 수억원이 넘는다. 이제 막 사업을 시작하는 스타트업들은 장비 구매조차 어렵다"고 말했다.

특히 스타트업은 인증을 받아 사업자로 활동하기 위한 기본 요건 충족도 어렵다. 현행 정보통신망법은 두 달 이상 서비스를 운영하지 않은 사업자는 ISMS 심사 대상에서 제외하고 있기 때문이다. 법이 정한 기간동안 서비스를 운영하지 않으면 ISMS 인증 자체가 불가능한 상황이다.

정상호 대표 / IT조선
정상호 대표 / IT조선
이준행 고팍스 대표는 총론적으로는 ISMS 규제 절차에는 문제가 없다고 밝혔다. 이 대표는 "몇 조원이나 몇 천억원 고객 예치금을 가진 업체에 이정도 보안을 요구하는 것이 비합리적으로 보이지 않는다"고 말했다. 다만 그는 KISA가 행정적 요소로 인해 기한 내에 인증 절차를 마치지 못한 사업자에 전향적 법 해석을 통해서 검토해줄 필요가 있다고 언급했다. 그는 "법 개정보다는 전향적인 해석을 통해서, 인증을 받지 못한 업체들의 사업성을 검토하는 운용의 묘가 필요하다"고 말했다.

이정엽 블록체인법학회 회장·서울회생법원 부장판사는 가상자산 비즈니스를 하려는 스타트업 성장을 해치지 않는 규제안이 필요하다고 봤다. 이 회장은 "ISMS 평가도 의미가 있다. 다만 가상자산과 관련된 사업을 한다는 이유만으로 가상자산사업자가 되면서 ISMS 인증을 받아야 하는 상황은 스타트업의 싹을 자를 수 있다"고 말했다. 이어 "결론적으로 가상자산 사업자를 특금법에 맞게 범위를 축소시키든지, 삭제를 해도 별다른 문제가 없는지를 국회에서 검토해줄 필요가 있다"고 말했다.

가상사업 사업자의 사업구조나, 고객 예탁 자금 규모 등을 종합 고려한 심사가 필요하다는 제안도 나왔다. 조진석 한국디지털에셋(KODA) 이사는 "KISA가 심사하려는 것들이 새로운 영역이고, 신생사업자들 또한 이러한 심사를 처음 받아보는 상황이기에 모두가 혼란스럽다"며 "심사역들은 가상자산사업자가 리스크있다고 보기 떄문에 은행 정도의 기준을 요구하고 있다. 새로운 산업 고려한 표준화된 가이드라인과 교육을 통한 합리적 평가가 필요하다"고 말했다.

허준범 핀테크산업협회 변호사는 근본적으로 가상자산산업만을 위한 별도의 업권이 필요하다고 피력했따. 허 변호사는 "특금법이 업권법이 되어선 안된다. 가상자산산업을 위한 별도 법이 필요하다. 이 가운데 새로운 가상자산 사업자들의 정보보안 인증 상황등을 평가할 수 있는 별도의 기준들이 마려야 한다"고 말했다.

이상무 한국인터넷진흥원(KISA) 보안수준인증팀장은 토론자들의 발언을 종합적으로 고려하겠다고 언급했다. 기업 부담을 낮출 수 있으면서도 정보보호 수준을 높일 수 있도록, 가상자산사업자 심사 점검 항목이나 심사 방법론을 고민해보겠다는 언급이다.

이 팀장은 "현장에서 기업들 평가하는 심사역과 심사 대상인 기업들의 이야기를 종합적으로 들으면서 적합한 평가 방법들에 대해서 고민해나가겠다"고 말했다.

이은주 기자 leeeunju@chosunbiz.com

관련기사