정보보호관리체계

정보보호관리체계(ISMS ; information security management system)는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 보호 절차와 과정이다. 정보보호관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도를 정보보호관리체계 인증제도라고 한다.

개요

정보보호관리체계는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조, 정보보호 관리체계 인증 등에 대한 고시를 법적근거로 하여 종합적인 정보보호를 목적으로 마련된 관리체계이다. 정보보호관리체계 인증제도를 통해 1) 정보보호 위험관리를 통한 비즈니스 안정성 제고, 2) 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보, 3) 침해사고, 집단소송 등에 따른 사회·경제적 피해 최소화, 4) 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상, 5) IT관련 정부과제 입찰시 인센티브 일부 부여 등의 효과를 기대할 수 있다.

정보보호관리체계 인증제도는 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영된다. 과학기술정보통신부는 인증제도를 관리·감독하는 정책기관이고, 한국인터넷진흥원은 인증기관으로서 인증제도를 운영한다. 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과를 심의하며, 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성된다.

현황

2020년 3월 5일, 암호화폐 사업자에 대한 준허가제 도입과 금융권 수준의 자금세탁 방지 의무 부과를 골자로 하는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안', 즉 '특금법'이 국회 법제사법위원회를 통과했다. 따라서 국내 암호화폐 업계의 숙원인 '암호화폐 산업 법제화'가 이뤄질 전망이다.^[1] 법 공포 1년 후인 2021년 3월부터 시행되며, 기존 사업자들은 개정안 시행일로부터 6개월 안에 신고해야 한다.

특금법은 기존 금융기관에만 부여하던 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 암호화폐 거래소 등 암호화폐를 취급하는 가상자산사업자(VASP)들도 따르도록 한 것이 핵심이다. VASP는 실명확인 입출금계정 서비스(암호화폐 거래 실명제)와 정보보호관리체계 인증 등 일정 요건을 갖추고 금융위원회 금융정보분석원(FIU)에 영업 신고를 해야 한다는 내용이 포함됐다. 준허가제로, 이를 어길 경우 5년 이하의 징역 또는 5천만원 이하 벌금이 처해진다.

특히 개정안에 따르면 가상자산 사업자 신고시 정보보호관리체계(ISMS) 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다. 즉, 특금법 시행 이전부터 영업해온 가상자산 사업자라고 할지라도 법 시행 이후 6개월 이내인 2021년 9월까지 실명계좌 발급과 정보보호관리체계 인증 등 모든 요건을 갖춰 영업신고를 해야 한다는 뜻이다.^[2]

이와 관련 금융회사가 가상자산 사업자에 대해 실명확인 입출금계정을 개시하는 조건 및 절차는 시행령에서 마련돼야 한다.^[3] 현재 국내 암호화페거래소 중 시중 은행과 입출금 계정 서비스 계약을 맺은 곳은 업비트, 빗썸, 코인원, 코빗 4개다. 정보보호관리체계 인증은 이들 4개 거래소 외에 고팍스, 한빗코 등이 받았다. (2020년 3월 5일 기준)^[4]

각주

참고자료

같이 보기

• 특금법
• 고객신원확인(KYC)
• 자금세탁방지(AML)

이 정보보호관리체계 문서는 보안에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.