검색
바른

신규 가상자산사업자의 시장진입을 위한 정보보호관리체계(ISMS) 예비인증제도 도입

[2022.07.29.]



과학기술정보통신부(이하 ‘과기정통부’)가 신규 가상자산사업자의 시장진입을 위해 정보보호관리체계(ISMS) 예비인증제도를 도입합니다.


2021. 3. 25. 시행된 특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 ‘특정금융정보법’)에 따르면 가상자산사업자 신고 수리를 위해서는 그 전제로 ISMS 인증을 받아야 합니다. 그런데 종래 과기정통부 고시에 따르면 ISMS 인증을 취득하기 위해 인증기준에 따른 정보보호관리체계를 구축하여 최소 2개월 이상 실제 운영을 해야 하였습니다. 가상자산사업을 새롭게 시작하고자 하는 사업자의 입장에서는 가상자산사업자 신고가 수리되지 않은 상태에서 정보보호관리체계를 구축하여 운영을 할 수 없었으므로 2개월의 기존 운영이력을 확보할 수 없었고, 결과적으로 새롭게 가상자산 관련 사업을 시작하려는 사업자는 ISMS 인증을 받지 못하여 가상자산사업자 신고를 할 수 없는 제도적 모순이 있었습니다.

 

과기정통부는 신규 가상자산사업자의 시장진입을 가로막았던 제도적 문제점을 해소하고자, 지난 2월 ‘ISMS 예비인증’제도를 도입하기로 결정하고 관련 고시 개정을 추진해왔고, 2022. 7. 20.부터 개정된 고시가 시행됨으로써 가상자산사업을 새로 시작하려는 사업자들도 ISMS 예비인증을 통해 가상자산사업자 신고를 할 수 있게 되었습니다.

 

 

* 개정 고시 내용과 예비인증 절차는 다음과 같습니다.


「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

(과학기술정보통신부고시 제2021-27호, 개인정보보호위원회고시 제2020-13호)

제17조(신청인의 사전 준비사항)

① 정보보호 및 개인정보보호 관리체계 인증을 취득하고자 하는 자(이하 “신청인”이라 한다)는 인증을 신청하기 전에 인증기준에 따른 정보보호 및 개인정보보호 관리체계 또는 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 한다. 다만, 제18조의2제1항제1호에 따른 예비인증의 경우에는 그러지 아니한다.


제18조의2(가상자산사업자에 대한 인증)

① 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조제1항에 따라 신고를 하려는 가상자산사업자(가상자산사업을 운영하려는 자를 포함한다. 이하 이 조에서 같다)에 대한 제18조제1항제2호의 인증은 다음 각 호로 구분한다.

1. 예비인증: 가상자산사업자 중 본인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영하지 못한 자가 실제 서비스 운영 전 임시적으로 관련 시스템을 구축·운영(이하 “시험운영”이라 한다)하여 받는 인증으로서 제2호에 따른 본인증을 받기 위한 조건부 인증

2. 본인증 : 예비인증을 취득한 자로서 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영한 자를 대상으로 하는 인증

② 인터넷진흥원 또는 인증기관은 가상자산사업자에게 제1항제1호에 따른 예비인증을 부여할 때에는 다음 각 호의 조건을 붙여야 한다.

1. 예비인증 취득한 날부터 3개월 이내에 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조에 따른 신고를 할 것

2. 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조에 따라 신고가 수리된 날부터 6개월 이내에 제1항제2호에 따른 본인증을 취득할 것(다만, 본인증 절차가 완료 될 때까지는 예비인증의 효력은 유효한 것으로 본다).

③ 예비인증 신청자가 제17조제2항에 따른 사전 준비사항을 준비하는 경우 정보보호 관리체계 구축 후에 시험운영 결과를 토대로 그 준비사항을 제출하여야 한다.

④ 인터넷진흥원 또는 인증기관은 제1항제1호에 따른 예비인증을 부여할 때에는 제32조에 따른 인증서 및 제34조에 따른 인증의 표시에 그 사실을 표기 및 표시하여야 한다.

⑤ 제1항제1호에 따른 예비인증은 제23조제1항제2호의 인증기준을 적용하되 시험운영을 통해 정보보호 관리체계가 적합한지에 대해 확인할 수 있는 범위로 한정한다.

 

부 칙

제1조(시행일) 이 고시는 2022년 7월 20일부터 시행한다.

제2조(가상자산사업자에 대한 적용례) 제18조의2의 개정 규정은 이 고시 시행 전에 정보보호 관리체계 인증을 신청하였으나 정보보호 관리체계 인증을 취득하지 못한 가상자산사업자에도 적용한다.


 

digital-1.jpg

 

 

* ISMS 예비인증을 취득한 사업자는 다음의 사항을 유의해야 합니다.

① 예비인증 취득 후 3개월 이내에 금융위원회에 가상자산사업자 신고를 완료하여야 합니다.

② 또한 신고수리가 완료된 이후 가상자산사업자는 실제 가상자산서비스를 제공할 수 있게 되는데, 2개월 이상 운영한 데이터를 바탕으로 반드시 6개월 이내에 ISMS 본인증을 신청하고 인증을 획득하여야 합니다.

③ ISMS 본인증을 취득한 사업자는 그 취득 결과를 취득 30일 이내에 FIU에 변경신고하여야 합니다.


향후 예비인증의 경우 일반 ISMS인증에 부여되는 인증마크와는 다른 마크가 부여될 예정입니다.

 

digital-2.jpg



* 가상자산사업을 준비하시는 분들은 다음 사항을 참고해 주십시오.

신규 가상자산사업자는 ISMS 예비인증 세부 항목심사를 통과할 경우 예비인증 취득이 가능하여, 특정금융정보법상 가상자산사업자의 신고요건을 갖출 수 있게 될 것입니다. 예비인증의 경우 80개의 ISMS 인증기준에 따라 심사가 수행되며, 290개의 가상자산 세부점검항목 가운데 196개 항목이 중점 점검될 예정입니다.

 

이번 고시 개정에 따른 예비인증제도의 도입을 통해, 그 동안 서비스실적을 쌓을 수 없어 시장진입이 불가능했던 신규 사업자가 가상자산사업자 신고를 할 수 있는 길이 열리게 되었습니다.

 

가상자산사업을 준비하시는 사업자들은 이러한 점을 참고하셔서 ISMS 예비인증 심사를 신청하시기 바랍니다.



최영노 변호사 (genie7@barunlaw.com)

한서희 변호사 (suhhee.han@barunlaw.com)

김추 변호사 (chu.kim@barunlaw.com)

이유진 변호사 (youjin_lee@barunlaw.com)

백설화 변호사 (seolhwa.baek@barunlaw.com)

관련 법조인