검색
광장

디지털 금융의 현안과 법(11) - 정보보호 관리체계(ISMS) 예비인증 제도 도입

[2022.07.25.]



법무법인(유) 광장의 블록체인팀은 “디지털금융의 현안과 법”이라는 주제의 뉴스레터 시리즈의 열한번째 뉴스레터로 정보보호 관리체계(ISMS) 예비인증을 도입하는 내용의 개정 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」를 살펴보고 예비인증 취득 및 가상자산사업자 신고 시 고려하여야할 사항에 대해 설명 드리겠습니다.



1. 개정 배경

가상자산사업자는 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 (이하 특정금융정보법)에 따라 정보보호 관리체계(이하 ISMS) 인증 등의 신고요건을 갖춰 금융정보분석원에 신고 수리된 경우에 한해 영업이 가능하나, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 ISMS 인증 취득을 위해서는 최소 2개월 이상 서비스운영 실적이 필요하여, 사실상 두 제도 간 상충으로 인하여 신규 가상자산사업자신고가 불가능하였습니다.


과학기술정보통신부는 위와 같은 문제점을 해결하기 위해 국무조정실, 금융위원회 등 관계부처와 실무협의를 거쳐 ISMS 예비인증 제도를 도입하기로 하였습니다. 이에 따라 과학기술정보통신부는 2022. 3. 31. 가상자산사업자에 대한 인증 특례 조항을 신설하여 ISMS 예비인증을 도입하는 내용의 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」의 일부개정안 행정예고를 발표하고, 2022. 7. 21. 해당 개정 고시는 같은 날인 2022. 7. 21. 부터 시행되는 것으로 발표하였습니다.



2. 주요 개정 내용

개정 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」에 따르면, 특정금융정보법 제7조 제1항에 따라 신고를 하려는 가상자산사업자에 대한 ISMS 인증은 “예비인증”과 “본인증”으로 구별되고, 가상자산사업자 중 본인증 취득 요건인 최소 2개월 이상 서비스운영 실적을 갖추지 못한 자가 실제 서비스 운영 전 임시적으로 관련 시스템을 구축·운영(시험운영)하여 “예비인증”을 받은 후, 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영하면 “본인증”을 받을 수 있게 되었습니다.


이와 같은 ISMS 예비인증과 관련하여 다음과 같은 사항에 유의하여야합니다.

* ISMS 예비인증 취득 가상자산사업자는 예비인증을 취득한 날로부터 3개월 이내에 금융정보분석원에 특정금융정보법에 따라 가상자산사업자 신고를 완료하여야 함(신고수리시 가상자산사업자의 가상자산서비스 제공 가능)

* 신고가 수리된 날부터 2개월 이상 운영한 데이터를 바탕으로 6개월 이내에 ISMS 본인증을 신청하고, 본인증을 획득하여야 함

* 이후 ISMS 본인증 취득 결과를 본인증 취득 30일 이내에 금융정보 분석원에 변경신고 하여야 함


아울러 과학기술정보통신부, 금융정보분석원은 예비인증 취득 후 특정금융정보법상 신고수리된 가상자산사업자가 ISMS 본인증을 획득하지 못했음에도 마치 ISMS 본인증을 취득한 것처럼 홍보하는 경우 해당 가상자산사업자의 서비스 이용자가 피해를 입지 않도록 각별한 주의를 당부했습니다. 이와 관련하여, 아래와 같이 ISMS 예비인증은 일반 ISMS 인증과는 다른 인증마크(인증범위, 유효기간 등)를 통해 구별할 수 있으며, 예비인증 해당여부는 사업자 누리집, 한국인터넷진흥원 누리집을 통해 확인할 수 있도록 할 예정입니다.


20220725105651153-1.jpg

 

 

3. 시사점

이번 개정으로 신규 가상자산사업자는 2개월 이상의 가상자산사업 운영 실적이 없더라도 ISMS 예비인증을 취득하여 가상자산사업자로 신고할 수 있게 되었습니다. 이로써 신규 가상자산사업자의 시장진입을 가로막았던 제도적 장벽이 해소되어, 향후 ISMS 예비인증 신청 및 가상자산사업자신고가 증가할 것으로 예상됩니다.


이번 개정과 관련하여 과학기술정보통신부는 관계부처와 협력하여 새로운 가상자산사업자의 시장진입을 지원하는 한편, ISMS인증을 획득한 가상자산사업자 대상의 주기적 사후관리 및 보안관리 체계 유지도 추진해 나가겠다고 밝혔습니다. 이에 ISMS 예비인증 및 가상자산사업자 신고 등과 관련된 구체적인 절차 및 방법을 준수하고 필요시 관계 부처와 상호 논의하는 등 적절히 대응할 필요가 있겠습니다.



윤종수 변호사 (jay.yoon@leeko.com)

강현구 변호사 (hyunkoo.kang@leeko.com)

이정명 변호사 (chloe.lee@leeko.com)

임승준 변호사 (seungjun.lim@leeko.com)

관련 법조인