정보보호관리체계

정보보호관리체계(ISMS; information security management system)는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 보호 절차와 과정이다. 흔히 영어 약자로 ISMS(아이에스엠에스)라고 한다. 정보보호관리체계 인증제도(간략히 'ISMS 인증제도')는 정보보호관리체계가 인증 기준에 적합한지를 심사하여 인증을 부여하는 제도를 말한다.

개요[편집]

정보보호관리체계는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조, 정보보호 관리체계 인증 등에 대한 고시를 법적근거로 하여 종합적인 정보보호를 목적으로 마련된 관리체계이다. 정보보호관리체계 인증제도를 통해 1) 정보보호 위험관리를 통한 비즈니스 안정성 제고, 2) 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보, 3) 침해사고, 집단소송 등에 따른 사회·경제적 피해 최소화, 4) 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상, 5) IT관련 정부과제 입찰시 인센티브 일부 부여 등의 효과를 기대할 수 있다.

현황[편집]

2020년 3월 5일, 암호화폐 사업자에 대한 준허가제 도입과 금융권 수준의 자금세탁 방지 의무 부과를 골자로 하는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안', 즉 '특금법'이 국회 법제사법위원회를 통과했다. 따라서 국내 암호화폐 업계의 숙원인 '암호화폐 산업 법제화'가 이뤄질 전망이다.^[1] 법 공포 1년 후인 2021년 3월부터 시행되며, 기존 사업자들은 개정안 시행일로부터 6개월 안에 신고해야 한다.

특금법은 기존 금융기관에만 부여하던 자금세탁방지(AML), 테러자금조달방지(CFT) 의무를 암호화폐 거래소 등 암호화폐를 취급하는 가상자산사업자(VASP)들도 따르도록 한 것이 핵심이다. VASP는 실명확인 입출금계정 서비스(암호화폐 거래 실명제)와 정보보호관리체계 인증 등 일정 요건을 갖추고 금융위원회 금융정보분석원(FIU)에 영업 신고를 해야 한다는 내용이 포함됐다. 준허가제로, 이를 어길 경우 5년 이하의 징역 또는 5천만원 이하 벌금이 처해진다.

특히 개정안에 따르면 가상자산 사업자 신고시 정보보호관리체계(ISMS) 인증을 획득하지 못하거나 실명확인이 가능한 입출금 계정을 사용하지 않으면 신고 수리가 안될 수 있다. 즉, 특금법 시행 이전부터 영업해온 가상자산 사업자라고 할지라도 법 시행 이후 6개월 이내인 2021년 9월까지 실명계좌 발급과 정보보호관리체계 인증 등 모든 요건을 갖춰 영업신고를 해야 한다는 뜻이다.^[2]

이와 관련 금융회사가 가상자산 사업자에 대해 실명확인 입출금계정을 개시하는 조건 및 절차는 시행령에서 마련돼야 한다.^[3] 현재 국내 암호화페거래소 중 시중 은행과 입출금 계정 서비스 계약을 맺은 곳은 업비트, 빗썸, 코인원, 코빗 4개다. 정보보호관리체계 인증은 이들 4개 거래소 외에 고팍스, 한빗코 등에 불과하다. (2020년 3월 5일 기준)^[4]

한계[편집]

정부가 특금법을 통해 정보보호관리체계를 암호화폐 사업자의 필수 요건으로 설정했지만, 그동안 정보보호관리체계 인증을 획득한 암호화폐 거래소들이 속수무책으로 해킹을 당했다는 것은 부정할 수 없는 사실이다. 정보보호관리체계 인증이 필수로 도입된 것은 2018년 1월이었다. 과학기술정보통신부와 한국인터넷진흥원은 매출액 100억 원 이상, 일 평균 방문자 100만 명 이상의 암호화폐 거래소에 대한 정보보호관리체계 인증을 의무화했다.^[5] 이때 국내 굴지의 암호화폐 거래소인 업비트와 빗썸 등 4개의 암호화폐 거래소가 인증을 받았지만, 이후 해당 암호화폐 거래소의 해킹 사고 소식은 끊이지 않고 들려왔다.^[6]

블록체인 및 암호화폐 시스템에 보다 투명한 기준 마련이 필요해 보이는 이 시점에서, 정보보호관리체계를 그 기준으로 삼는다는 것은 단지 마땅한 보안 인증 제도가 없기 때문이라는 말도 등장하고 있다. 이에 대해 전문가는 "정보보호관리체계 인증이 중앙화된 시스템에 최적화되어 있어 탈중앙화 방식인 블록체인 시스템에서는 대앙 기준을 적용할 수 없다"며 "암호화폐 거래소의 체계와 운영구조를 살펴볼 때 정보보호관리체계의 기준을 적용하기는 쉽지 않다"고 말했다.^[7]

정보보호관리체계가 보안의 측면에서만 한계가 있는 것은 아니다. 정보보호관리체계 인증을 획득하기 위해서는 사업자의 입장에서 매우 까다로운 과정을 통과해야 하며, 이 과정에서 만만치 않은 비용이 들어간다. 한편으로는 그 비용을 감당할 수 없어 사기업체를 걸러낼 수 있어 다행이라는 주장도 있지만, 정보보호관리체계가 블록체인 시스템에서 암호화폐의 보안을 얼마나 지켜낼 수 있을지는 의문이다.

각주[편집]

↑ 임유경 기자, 〈특금법, 법사위 통과...암호화폐 산업 법제화 첫발 뗐다 - 5일 국회 본회의 통과되면 법 공포 후 1년 뒤 실행〉, 《지디넷코리아》, 2020-03-05
↑ 김미희 기자, 〈특금법 개정안 국회 통과...암호화폐 산업 제도권 진입(종합)〉, 《파이낸셜뉴스》, 2020-03-05
↑ 문정은 기자, 〈'이제 암호화폐 아니고 가상자산입니다'... 특금법 개정안 국회 통과 - 제도권으로 들어온 '가상자산' 시장〉, 《테크엠》, 2020-03-05
↑ 황치규 기자, 〈특금법 법사위 통과…암호화폐 산업 제도권 편입 ‘임박’〉, 《블로터》, 2020-03-05
↑ 이상훈 기자, 〈최근 3년간 국내 암호화폐 거래소 해킹피해 8건, 피해액 1200억원〉, 《스포츠서울》, 2019-09-30
↑ 송화연·이수호 기자, 〈"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론〉, 《뉴스원》, 2019-12-04
↑ 이수호 기자, 〈가상자산 사업자의 자격증이 될 'ISMS'…정말 믿어도 돼?〉, 《테크엠》, 2020-03-05

참고자료[편집]

김경윤 기자, 〈가상화폐 거래소 업비트, 정보보호 ISMS 인증 획득〉, 《연합뉴스》, 2018-11-26
임유경 기자, 〈코빗, 정보보호 ISMS 인증 획득〉, 《지디넷코리아》, 2018-12-17
유진상 기자, 〈빗썸, ISMS 인증 획득〉, 《아이티조선》, 2018-12-31
이지영 기자, 〈코인원, 정보보호관리체계 ISMS 인증 획득〉, 《블로터》, 2019-01-02
황정빈 기자, 〈암호화폐 거래소 한빗코, 정보보호 ISMS 인증 획득 - "향후 실명계좌 발급 허가도 고려"〉, 《지디넷코리아》, 2019-06-03
이상훈 기자, 〈최근 3년간 국내 암호화폐 거래소 해킹피해 8건, 피해액 1200억원〉, 《스포츠서울》, 2019-09-30
송화연·이수호 기자, 〈"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론〉, 《뉴스원》, 2019-12-04
임유경 기자, 〈특금법, 법사위 통과...암호화폐 산업 법제화 첫발 뗐다 - 5일 국회 본회의 통과되면 법 공포 후 1년 뒤 실행〉, 《지디넷코리아》, 2020-03-05
김미희 기자, 〈특금법 개정안 국회 통과...암호화폐 산업 제도권 진입(종합)〉, 《파이낸셜뉴스》, 2020-03-05
문정은 기자, 〈'이제 암호화폐 아니고 가상자산입니다'... 특금법 개정안 국회 통과 - 제도권으로 들어온 '가상자산' 시장〉, 《테크엠》, 2020-03-05
황치규 기자, 〈특금법 법사위 통과…암호화폐 산업 제도권 편입 ‘임박’〉, 《블로터》, 2020-03-05
이수호 기자, 〈가상자산 사업자의 자격증이 될 'ISMS'…정말 믿어도 돼?〉, 《테크엠》, 2020-03-05

같이 보기[편집]

이 정보보호관리체계 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 임유경 기자, 〈특금법, 법사위 통과...암호화폐 산업 법제화 첫발 뗐다 - 5일 국회 본회의 통과되면 법 공포 후 1년 뒤 실행〉, 《지디넷코리아》, 2020-03-05

[2] 김미희 기자, 〈특금법 개정안 국회 통과...암호화폐 산업 제도권 진입(종합)〉, 《파이낸셜뉴스》, 2020-03-05

[3] 문정은 기자, 〈'이제 암호화폐 아니고 가상자산입니다'... 특금법 개정안 국회 통과 - 제도권으로 들어온 '가상자산' 시장〉, 《테크엠》, 2020-03-05

[4] 황치규 기자, 〈특금법 법사위 통과…암호화폐 산업 제도권 편입 ‘임박’〉, 《블로터》, 2020-03-05

[5] 이상훈 기자, 〈최근 3년간 국내 암호화폐 거래소 해킹피해 8건, 피해액 1200억원〉, 《스포츠서울》, 2019-09-30

[6] 송화연·이수호 기자, 〈"업비트까지 뚫렸는데"…해킹에 속수무책 '정부 ISMS 인증' 무용론〉, 《뉴스원》, 2019-12-04

[7] 이수호 기자, 〈가상자산 사업자의 자격증이 될 'ISMS'…정말 믿어도 돼?〉, 《테크엠》, 2020-03-05

[1]

[2]

[3]

[4]

[5]

[6]

[7]

위키

이름공간

변수

보기

더 보기

검색