가상화폐 거래소 선택 시 꼭 체크하세요! 이제 가상화폐 거래소도 정보보호 관리체계(ISMS) 인증이 필수!

2021. 5. 26. 17:47IT 트렌드가 한눈에!

 

비트코인(Bitcoin), 이더리움(Ethereum), 리플(Ripple), 에이다(Ada), 대시(Dash) 넴(Xem) 등등등

 

요즘 사람들의 대화 주제에서 빼놓을 수 없는 가상화폐 종류들입니다. 아마 이 글을 보고 계신 분들이라면, 당연히 한 번쯤은 들어보셨겠죠? 가상화폐는 나름의 자산으로 여겨지는 시각이 있죠. 그런만큼, 가상화폐 거래소를 선택할 때 신뢰성도 반드시 고려해야 합니다. 최근, 이러한 가상화폐 거래소 관련 사기 범죄가 늘면서, 투자자를 보호하기 위해 금융권은 조치를 취하기 시작했습니다. 현 상황에 대해 대부분 전문가들은 다수의 가상화폐 거래소가 영업을 할 수 없게 될 수 있음을 암시하고 있는데요. 그 이유는 무엇일까요?

 

 

가상화폐 거래소가 계속 영업하기 위해선 적어도 9월까지 은행으로부터 고객의 실명 계좌를 확보해야 합니다. 이를 위해서 가상화폐 거래소는 약 10개 항목의 법적 요건을 점검해야 하는데요. 그 중에서 오늘 파수가 주목할 요건은 바로 ‘정보보호 관리체계(이하 ISMS) 인증’입니다. 특히나, ISMS (Information Security Management System) 인증은 가상화폐 거래소 뿐만 아니라, 지금 이 글을 보고 계신 여러분의 회사와도 긴밀히 연관될 가능성이 높기 때문이죠. 혹시 모릅니다. 이미 여러분의 회사가 ISMS 인증 대상 기업일 수도요!

 

 

ISMS 인증은 의무대상자가 스스로 대상 여부를 확인하고 인증을 요청해야 하기 때문에, 보안 담당자 분이시라면 ISMS 인증 대상 조건을 항상 주시해야 합니다. 가상화폐 거래소처럼 원래는 그 대상이 아닌데, 갑자기 해당될 수 있기 때문이죠. 그렇다면, 우리 기업은 현재 해당이 되는지, 되지 않는지…궁금해지고 계시겠죠?! 너무 걱정하지 마시고, 파수의 설명을 따라와주시기 바랍니다!

 

 

 

 

ISMS 인증제도는 쉽게 말해 기업/기관의 정보보안체계를 감사(Audit)하는 것입니다. 즉, 해당 조직이 정보자산을 보호하기 위해 어떤 체계를 갖고 있는지 살피고, 이것이 적합한지 판단해 인증을 부여하지요. 따라서 ISMS 인증을 받았다는 뜻은?! 해당 조직의 정보보안 관리/보호 체계가 아주 잘~구성됐음을 도장 쾅!하고 인증해주는 것이랍니다. 잠깐! 그렇다고 해서 완전무결하게 안전하다는 뜻으로 해석해서는 안 됩니다. 건강검진을 받았다고 해서, 병에서 완전히 자유로울 수 없듯이, ISMS 인증은 지속적으로 해야 하는 하나의 검사인 셈이죠.

 

 

위과 같은 ISMS 인증이 다소 까다로운 이유는 앞서 말했듯이 기업 스스로가 의무대상자인지 확인하고 인증을 취득해야 하기 때문인데요. 만약 의무대상자에 해당하는 기업이 ISMS 인증을 진행하지 않는다면, 3,000만원 이하의 과태료를 물게 될 수도 있답니다.

 

 

한국인터넷진흥원의 자료에 따르면, ISMS 인증 의무대상자에는 정보통신망/정보통신서비스를 제공하는 기업 및 정보통신시설이 해당됩니다. 또한, 매출액 및 이용자 기준에서 연간 매출액, 세입 등이 1,500억 원 또는 정보통신서비스 매출액이 100억원, 이용자 수가 100만 명 이상인 사업자가 포함됩니다.

 

 

혹시 우리 회사가 포함돼 있을지도?! 아래 표를 통해 한 번 확인해 보시길 바랍니다~!

 

 

(출처: KISA 한국인터넷진흥원)

 

 

ISMS 인증 심사 과정 또한 쉽지 않은데요! 신청 기관은 크게 신청-계약-심사-인증으로 네 단계를 거치게 되는데, 공식 인증 기관과 인증위원회 심의를 모두 통과해야 합니다. 또한, 최초 심사 통과 후에도 연 1회 이상 사후 심사와 유효기간 3년 이전에 갱신 심사를 받아야 합니다.

 

 

다소 머리 아픈 T_T 과정이지만, 인증을 받으면 정보보호 관련 평가 시 가산점 및 보험사로부터 요금 할인 등 혜택을 받을 수 있다고 합니다. 특히, 중소기업의 경우 ISMS 인증을 받을 때 수수료를 할인한다고 하니, 중소기업분들은 합리적인 가격으로 ISMS 인증을 받고 혜택 기회를 넓히시는 게 좋겠죠?

 

 

이제, ISMS 인증을 의무적으로 또는 자율적으로 취득하고자 하시는 분들이 있으리라 생각되는데요. 간단하게 받을 수 있는 인증이 아닐뿐더러 인증 상태 유지를 위해 규칙적인 심사가 필요한 만큼, 전문적인 정보보호 컨설팅이 필요하실 수 있습니다. 파수가 자신 있는 분야 중 하나죠. ^^ 그렇다면, 정보보호 컨설팅 서비스 업체를 고를 때 중요한 고려 사항은 무엇일까요?

 

 

정보보호 컨설팅 서비스는 무엇보다 ‘전문 인력’과 함께하는 것이 핵심입니다. ISMS 인증의 더 자세한 과정을 아시면 이해가 되실 텐데요. ISMS 인증은 기본적으로 컨설턴트가 제공하는 문서, 흔히 증적(Audit Trail)이라고 불리는 문서를 바탕으로 진행됩니다. 컨설턴트는 기업/기관에 적용되는 컴플라이언스, 정보 서비스 흐름, 기술 취약점 등을 진단해 무엇을 확인했고, 어떻게 개선했는지를 모두 문서로 남겨 놓는데요. 인증 기관은 이러한 문서를 바탕으로 현장에 방문해 일치 여부를 확인하고, 인증 기준을 충족할 때 비로소 심사를 통과시켜 줍니다.

 

 

이렇듯, ISMS 인증은 특정 솔루션을 통해 자동적으로 진행될 수가 없고, 컨설턴트의 경험과 역량에 따라 원활한 진행이 좌우됩니다. 따라서, 신청 기관은 다양한 산업군에서 경험을 갖고, 실질적인 역량을 쌓아 온 전문 컨설턴트를 섭외해야 하죠!

 

 

파수의 정보보호 컨설턴트는 국내 최고 수준의 데이터 보안 기업에 속해 있는 만큼, 풍부한 경험과 우수한 역량을 갖고 있습니다. 특히, ISMS 외에도 ISO27001, PIMS 체계 구축 및 인증 획득, 기반시설 및 IT보안 실태 점검 등 다양한 분야의 보안 컨설팅 경험을 보유하고 있는데요. 이처럼 대규모 사업을 주도적으로 수행하고 관리한 경험이 있는 PM급 인력을 다수 투입 가능합니다. 물론, 현재와 같이 COVID-19로 인해 비상 상황이 생길 경우, 컨설팅을 백업할 수 있는 기술자 등급 동급 이상의 교체 인력도 상시 준비돼 있습니다.

 

 

또한, 공공, 금융, 통신, 제조, IT 등 다양한 산업 분야의 대기업부터 중소기업을 대상으로 정보보호 및 개인정보보호 관련 컨설팅을 다수 수행해, 여러분의 기업 유형에 따른 유연한 컨설팅을 보증합니다. 다양한 고객사를 상대로 한 컨설팅 이력을 통해 최상의 컨설팅 방법론을 고객사 현황에 적용함으로써 최적화된 산출물 도출이 가능한 것이죠~!

 

 

Manpower와 Know-how를 두루 갖춘 파수의 전문 보안 컨설턴트와 정보보안 체계 구축/관리를 시작해보는 것은 어떨까요? (엄지 척!!!)

 

 

파수 정보보호 컨설팅 자세히 보러 가기

https://www.fasoo.com/services/information-security-consulting

 

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

디지털 전환, 디지털 트랜스포메이션, 디지털 뉴딜 시대를 리드하는 글로벌 소프트웨어 기업. 정보보안, 빅데이터, 비식별, 문서관리, 랜섬웨어, 블록체인 관련 솔루션 및 서비스 제공

www.fasoo.com