빗썸, 코인원, 코빗, 업비트 등 4개 가상화폐거래소는 내년에 정보보호관리체계(ISMS) 인증을 받아야 한다. 거래소별로 정보보호최고책임자(CISO)를 지정한 후 과기정통부에 신고해야 한다.
과학기술정보통신부와 방송통신위원회는 20일 4개 거래소를 내년 ISMS 의무 대상에 포함하는 내용을 골자로 한 가상화폐거래소 보안 대책을 내놨다. ISMS는 기업 정보보호 체계 적절성을 평가 인증하는 제도다. 과기정통부는 매출액 100억 이상, 일일 평균 방문자수 100만 이상 거래소는 ISMS 인증 의무 대상이라고 밝혔다. 인증 의무대상에서 제외된 중소규모 거래소를 대상으로 '개인정보보호 관리체계(PIMS)'와 '개인정보보호 인증마크(ePRIVACY Mark)'를 독려키로 했다. 매년 사후점검을 통해 거래소 정보보호 활동을 관리한다.
9월부터 실시한 거래소 사이버보안 및 개인정보보호 체계점검을 내년에도 이어간다. 10개 거래소를 대상으로 보안취약점과 개인정보보호 조치 미흡사항 보완을 권고했다. 방통위는 올해 점검결과, 조사대상 사업자 대부분이 접근 통제장치 설치와 운영, 개인정보의 암호화 조치 등 기술적 보호조치가 미흡했다고 밝혔다. 내년 1월중 법규 위반 사항에 대해 과태료 등 행정처분을 실시할 예정이다.
과기정통부는 정보보호대책 마련, 보안취약점 분석과 개선 등의 역할을 수행하는 CISO를 거래소별로 지정한 후 신고토록 할 계획이다. 거래소 CISO와 핫라인을 구축하고, 최근 발생하는 해킹 위협과 대응 방향 등을 신속하게 공유해 유사 피해를 예방한다.
한국인터넷진흥원(KISA) 종합상황실에서 거래소 홈페이지 대상의 악성코드 유포, 디도스 공격 등을 모니터링하고 사고 감지 시 신속한 대응을 지원할 계획이다.
방통위는 사업자 책임 강화를 위해 개인정보 유출 등 지속적 법규위반 사업자에 대해 '서비스 임시 중지조치 제도를 도입한다. 개인정보 유출시 과징금 부과기준을 상향하여 법규 집행력을 강화한다. 이용자 피해구제 강화를 위해 사업자의 보호조치 미흡으로 개인정보 유출 시 이용자 피해를 구제하는 '집단소송제도', '손해배상 보험 공제 가입 의무화' 도입을 검토한다.
과기정통부와 방통위는 거래소 보안점검을 실시하여 문제점을 개선하고, 법 위반 사항에 대해서는 엄정 대처한다.
김인순 보안 전문기자 insoon@etnews.com