[김동환의 결국은 돈 문제야!] 가상자산사업자 ISMS, 무엇을 준비해야 하나?

2021년 3월부터 특정 금융거래정보의 보고 및 이용 등에 관한 법률이 실행된다. 특금법이라고 흔히들 이야기하는데 이 법안에서는 가상자산사업자의 범위 및 의무사항에 대해서 언급하고 있다. 가상자산은 누구나 알고 있는 비트코인부터 시작해서 이더리움 그리고 각종 암호화폐가 모두 포함된다. 몇 년 전부터 유행했던 ICO(Initial Coin Offering)로 발행한 암호화폐들도 모두 해당한다. 즉 암호화폐를 보유하거나 관리하거나 발행한 기업들이 이 가상자산사업자의 범위에 해당할 수 있다.

문제는 암호화폐를 발행한 기업들과 암호화폐 지갑 등의 서비스를 하는 블록체인 관련 기업들은 대부분 스타트업이어서 특금법에서 시행해야 하는 의무인 정보보호 관리체계(ISMS) 인증을 받기에는 많은 어려움이 존재한다. 일차적으로는 암호화폐를 사고팔 수 있도록 중개해주는 암호화폐 거래소들이 대상이 되는데, 거래소 및 기타 암호자산을 다루는 기업들에서 반드시 해결해야 할 내용을 살펴보려고 한다.가상자산을 다루는 사업자는 KISA에서 발표한 ISMS 인증 보도대책을 마련하고 있어야 한다. 많은 항목이 있지만, 그중에서 특별히 강조되고 있는 부분은 암호키의 안전한 생성과 이용 보관 및 관리 절차에 대한 사항이다. 그리고 다양한 월렛(핫, 콜드월렛)에서 발생할 수 있는 개인키 유출과 도난 분실 방안에 대한 대책 및 이행 여부에 대한 항목들이 주를 이루고 있다.

결국 가상자산사업자가 ISMS인증을 받는 이유는 가상자산이 중요한 개인들의 자산으로 인식되기 시작하였다는 것이고, 이에 따라서 가상자산사업자는 개인들의 자산을 안전하게 보호해야 할 책임이 이전보다 더 강화되었다는 것이다.

암호화폐는 기존과는 달리 중앙관리방식이 아닌 탈중앙 관리방식을 취하고 있다. 원래는 개인이 직접 암호화폐를 관리하고 책임지는 것이 암호화폐의 원리이고 취지인데, 불가피하게 거래소를 통해서 거래를 해야 하거나, 또 다른 편리함을 이유로 사업자들이 제공하는 서비스를 이용할 수밖에 없다.기존의 서비스는 중앙에 의한 방식으로 관리되기 때문에 자산의 유실 및 도난에 있어서 보다 안전하다. 그런데 암호화폐는 관리방식의 책임을 개인이 지는 방식이기 때문에 중간에 3자에 의해서 관리될 때는 도난, 유실의 문제가 더 크게 발생할 수밖에 없다. 결국 이 도난과 유실에 있어서 가장 취약할 수밖에 없는 구조적인 문제를 어떻게 해결할 수 있는지가 관건이다.

이번에 가상자산사업자들을 대상으로 시행되는 정보보호 관리체계(ISMS) 역시 이 부분에 집중되어 있다. 다른 부분도 중요성을 간과할 순 없지만 가장 중요한 건 자산의 도난, 유실을 방지하는 것이다. 그렇다면 근본적으로 개념이 다른 가상화폐에 적절한 시스템적인 보안이 가능할까?

결론적으로 현재의 기술로 가상자산에서 제일 중요한 개인키(Private Key)를 안전하게 보호하면서도 편리성을 제공해 줄 방법이 존재한다. 소프트웨어적인 방법으로 해결하는 것은 다양하게 연구 중이고 H/W와 연계하여 해결할 수 있는 HSM(Hardware Secure Module)을 활용하여 개인키(Private Key) 문제를 해결할 수 있다.가상자산을 다루는 많은 기업에서 엔트러스트의 nShield HSM을 사용하여 10억 개 이상의 암호키를 HSM의 FIPS 140-2 보안경계 내에서 보호하고 있다. 그뿐만 아니라 ISMS 인증 보호 대책의 기준을 마련한 KISA에서도 신규 루트 인증시스템 구축을 위해서 nShield HSM을 도입하였다.

가상자산사업자는 개인키(암호키)를 안전하게 보관하는 것도 중요하지만 사용자들이 불편함 없이 사용할 수 있도록 서비스가 되어야 한다. 엔트러스트 nSheid HSM의 경우 송금 정책이나 사용자 인증 정책을 코드화하여 HSM내에서 제어할 수 있기 때문에 운영상 불편함을 최소화할 수 있다.

곧 준비해야 하는 특금법 관련해서 엔트러스트의 nShield HSM을 검토해보는 것도 앞으로의 사업의 발전과 고객들의 자산을 안전하게 보호하는 데 큰 역할을 할 수 있을 것이다.

김동환 한경닷컴 칼럼니스트