암호화폐 거래소를 운영하거나, 암호화폐 월렛서비스, 보관소 등을 운영하는 경우, 이는 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」(이하 “특정금융거래법”) 상의 “가상자산사업자”에 해당하며, 제7조 제1항에 따른 가상자산사업자 신고를 하기 위해서는 「정보보호 및 개인정보보호 관리체계인증 등에 관한 고시」(이하 “ISMS 인증 고시”)상의 정보보호관리체계 인증(이하 “ISMS 인증”)을 받아야 합니다.

개정 전ISMS 인증 고시는 인증을 받기 위하여는 정보보호 관리체계 인증은 관리체계 구축 후 최소 2개월 이상 운영하여야 인증심사가 가능하였습니다. 그런데, 특정금융거래법은 가상자산사업자로서 영업을 시작하기 전인, 신고 단계에서 ISMS 인증을 받을 것을 요구하였으므로, 2개월 이상의 운영기록을 제출하는 것은 불가능한 사항이었습니다.

이에 과학기술정보통신부는 가상자산사업로 신규 사업을 개시하려는 자에 대해 “예비인증” 제도를 신설하여, 정보보호 관리체계를 2개월 운영한 이력이 없는 경우에는 “예비인증”을 먼저 받도록 하고, 예비인증 취득일로부터 3개월 이내에 특정금융거래법 상의 가상자산사업자 신고를 하도록 하며, 가상자산사업자 신고가 수리된 이후 6개월 이내에 ISMS 본인증을 받도록 규정하였으며, 이를 2022. 3. 31. 행정예고 하였습니다.

또한 ISMS 예비인증의 경우에는 ISMS 본인증과는 달리, 시험운영을 통해 정보보호 관리체계가 적합한지에 대해 확인할 수 있는 범위로 한정하므로, 아직 세부기준은 행정예고 하지 않았으나, ISMS 본인증의 인증기준(ISMS 고시 [별표 7] 인증기준 참조) 보다는 간소화한 인증기준이 적용될 것으로 예상됩니다.

따라서 가상자산사업을 시작하려는 사업자는 ISMS 예비인증 획득을 위한 정보보호관리체계를 구축하여야 하며, 사업시행예정일에 맞게 전문가를 통한 ‘가상자산사업자 ISMS 인증 컨설팅’을 받은 후, 인증을 신청하도록 하는 것이 적절하겠습니다.

또한 ISMS 예비인증 이후에도, 특정금융거래법상 사업 신고절차, ISMS 본인인증 절차를 거쳐야 하므로, 이에 대한 준비도 지속적으로 추진하여야 할 필요가 있습니다.

가상자산사업자를 시작하는 사업자로서는 사업모델 개발과 시스템 구축에 엄청난 어려움을 겪게 됩니다. 이에 더하여 가상자산사업자 신고와 ISMS 인증 등 법률사항을 만족하는 것이 매우 어렵게 느껴질 수 있습니다. 특히 ISMS 인증의 세부사항은 법률과 기술사항이 각각 관리적, 기술적 인증기준이라는 이름으로 부여되어 있어, 이를 만족하기 위해서는 ISMS 인증 사례 등을 확인하면서 진행하는 것이 좋겠습니다.

저자 소개 : 법무법인 비트 백승철 파트너 변호사