오는 9월 24일 특정금융법(이하 특금법) 상 유예기간이 종료되는 가운데 국내 가상자산 커스터디(금융자산을 대신 보관 및 관리해주는 서비스) 사업자에 비상이 걸렸다. 현행 정보통신망법 상 두 달 이상 서비스를 운영해 온 사업자만 정보보호관리체계인증(ISMS) 심사를 받을 수 있기 때문이다.

이에 업계 일각에서는 특금법에서 정한 가상자산 사업자의 ISMS 요건을 전면 재검토해야 한다는 목소리가 나온다. 또 우선 가영업을 허용하고 유예기한을 늘려줘야 한다는 주장이 제기된다.

11일 ISMS 인증 심사기관인 한국인터넷진흥원(KISA)은 특금법 유예기한이 끝나는 9월 24일까지 ISMS를 획득하지 못한 가상자산 커스터디 사업자는 이후 ISMS 심사를 받기 어렵다고 밝혔다.

KISA 관계자는 IT조선과 통화에서 "정책적 판단을 떠나 ISMS만 놓고 본다면 특금법 유예기간이 끝난 이후 가상자산 커스터디 사업자가 서비스를 제공하지 않을 경우 ISMS를 받기 어렵다"고 말했다.

이는 특금법과 정보통신망법이 충돌한 결과로 분석된다. 특금법에 따르면 가상자산 사업자는 ISMS를 획득해야 한다. ISMS를 획득하지 않은 사업자는 신고수리를 거부당할 수 있다. 규제 당국은 이를 9월 24일까지 유예해줬다.

반면 현행 정보통신망법은 두 달 이상 서비스를 운영하지 않은 사업자는 ISMS 심사 대상에서 제외하고 있다. 정보통신망법 제47조에 따르면 인증을 취득하고자 하는 자는 인증을 신청하기 전 관리체계를 구축해 최소 2개월 이상 운영해야 한다. 법이 정한 기간동안 서비스를 운영하지 않으면 ISMS 인증 자체가 불가능하다.

즉, 정보통신망법에 따르면 7월 25일 이전에 ISMS 인증체계를 구축하고 운영을 해 왔어야 ISMS 심사 대상에 들어갈 수 있다는 얘기다. 하지만 특금법을 이유로 9월 24일까지 ISMS를 획득하지 못한 가상자산 커스터디 사업자는 영업을 중단할 수밖에 없다. 결국 이들은 ISMS 신고 접수가 불가능한 상황에 놓이게 되는 셈이다. 이 경우 특금법상 ISMS 요건은 ‘원시적 불능상태’에 빠진다. 원시적 불능이란 법률상 용어로 애초에 달성할 수 없는 조건을 말한다. 결국 특금법이 잘못 만들어졌다는 얘기로 해석된다.

KISA 관계자는 "ISMS 인증 대상 자체가 살아있는 시스템이나 서비스다"라며 "대표적으로 네이버 포털 홈페이지나 쇼핑몰 등이 심사 대상의 기본이며 기본 컨셉이다"라고 설명했다.

ISMS 획득 어려운 구조적 한계가 문제

업계는 가상자산 커스터디 사업자들가 ISMS를 획득하기 어려운 구조적 한계를 문제로 꼽는다. 현행 ISMS 심사 항목은 기존 포탈 서비스를 제공하는 사업자가 중심이다. 커스터디 사업에 불필요한 항목이 적지 않다. 사업자가 대규모 자금을 들여도 ISMS를 획득하기 어려운 이유도 이 때문이다.

보안의 핵심은 ▲비밀성 ▲무결성 ▲가용성이다. 보안 시스템을 구축하기 위해서는 키 값이 노출되지 않아야 하며, 제 3자에 의한 임의 조작이 금지돼야 한다. 마지막으로 서비스 이용자가 사용할 수 있는 범위 내에서 이뤄져야 한다.

가상자산 커스터디와 지갑 사업의 핵심은 암호화 키를 보관하는 비밀성 강화에 있다. 지갑이란 사용자 키를 저장하고 관리하는 데 사용되는 데이터 구조다. 커스터디는 이러한 지갑에 고객의 자산을 수탁·보관·관리하는 모든 행위를 통칭한다. 사용자는 지갑에 들어있는 키로 거래에 서명함으로써 네트워크 상에서 가상자산을 통제한다. 키 값이 노출되면 보안이 뚫리는 셈이다.

즉, ISMS에서 요구하는 비밀성과 가상자산의 기본 기술인 블록체인의 비밀성이 상충하는 셈이다.

국내 가상자산 보안 전문가는 "현행 ISMS는 비밀성은 약화돼있는 반면 무결성과 가용성이 강화돼 있다"며 "가상자산 커스터디 사업자에 대해서는 보안 효율이 떨어져 역효과를 내고 있다"고 지적했다. 이어 "보안은 논리적인 구조가 맞아야 한다"며 "이 구조를 무시하고 무작위로 다수의 보안 시스템을 구축하면 시스템이 서로 충돌해 악영향을 미칠 가능성이 크다"고 경고했다.

"특금법 재검토 해야" 목소리 높아

업계에서는 특금법을 전면 재검토하고 가상자산 사업자에 맞는 별도의 ISMS 심사 항목을 마련해야 한다는 주장이 나온다. 국내 커스터디 사업자는 "가상자산 서비스의 형태를 무시하고 일괄적인 인증 심사를 강제하는 것보다 법 개정의 취지에 맞게 시행하는 것이 중요하다"고 말했다.

이에 업계는 금융위원회가 ISMS 심사를 준비하는 사업자를 대상으로 가운영을 허용해야 한다고 목소리를 높인다. 신고 접수를 마치지 않고 서비스를 제공하더라도 법률 위반으로 보지 않도록 유예하는 방식이다.

업계 관계자는 "정부가 이에 대한 문제점을 인식하고 있는 만큼 부처간 협의를 통해 ISMS 심사 기간 동안 특금법 적용 유예가 가능하도록 정책적 판단이 필요하다"고 말했다.

조원의 법무법인 디라이트 대표변호사는 "인증심사 확인서로 신고서를 접수하고 수리 여부 결정시점까지 인증서를 제출하도록 제도를 검토할 필요가 있다"고 주장했다.

조아라 기자 archo@chosunbiz.com