[디지털투데이 강진규 기자] 금융당국이 가상자산 사업자에게 실명확인입출금 계정을 사용하기 위해 정보보호관리체계(ISMS) 인증을 요구하고 있지만 정작 상당수 금융회사들이 ISMS 인증을 받지 않은 것으로 드러났다. 자칫 ISMS 인증을 받지 않는 은행이 가상자산 사업자에게 ISMS 인증을 요구하는 아이러니한 상황이 발생할 수도 있다는 지적이다.

4일 금융권과 정보보호업계에 따르면 현재 11개 은행, 5개 카드사, 17개 증권사, 7개 보험사가 ISMS와 개인정보보호관라치계(PIMS) 인증을 획득, 유지하고 있다.

ISMS 인증은 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 정보보호 관리체계가 적합한지를 심사해 인증을 부여하는 제도다. 정부는 2001년 ISMS 제도를 시행했다. 이어 2012년 개인정보보호에 대한 관리가 잘되고 있는지를 평가하는 PIMS 인증 제도를 시행했다. 2018년에는 ISMS와 PIMS가 통합돼 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)이 출범했다.

보안을 강화하기 위해 기업, 공공기관 등은 ISMS 인증을 받고 있다. 특히 최근 금융권에서는 가상자산 사업자와 관련해 ISMS 인증을 주목하고 있다. 

정부는 최근 입법예고한 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 특금법) 시행령 일부개정령안’에서 금융회사가 실명확인입출금 계정을 개시할 때 가상자산 사업자에게 ISMS 인증을 획득했는지 여부를 확인하도록 했다. ISMS를 받지 않으면 사실상 가상자산 사업을 할 수 없는 것이다. 정부는 가상자산 거래소와 기업 등이 해킹을 당하는 것을 우려해 이런 조치를 취했다. 

ISMS를 담당하는 한국인터넷진흥원(KISA) 자료에 따르면 플루토스디에스(한빗코), 코인원, 빗썸코리아(빗썸), 코빗, 두나무(업비트), 스트리미(GOPAX)가 ISMS 인증을 획득했다. 또 차일들리, 텐앤텐, 뉴링크(캐셔레스트)가 ISMS-P 인증을 받았다. 가상자산 사업자에 대한 ISMS 인증이 사실상 의무화되면서 앞으로 더 많은 가상자산 관련 업체들이 인증을 받을 것으로 예상된다.

그런데 ISMS를 요구해야하는 금융회사들은 ISMS 인증을 받아야 하는 의무가 없는 상황이다. 이에 상당수 금융회사들이 ISMS 인증을 받지 않았다.

KISA 자료를 분석한 결과 은행들 중 최신 ISMS-P를 받은 곳은 우리은행, 신한은행, KB국민은행, NH농협은행, 광주은행, 경남은행 6곳이었다. ISMS 인증이 유효한 은행은 하나은행, 전북은행, 카카오뱅크, 케이뱅크, IBK기업은행 등 5곳이었다.

시중은행과 인터넷 전문은행들이 대부분 ISMS 인증을 받은 것과 달리 국책은행, 외국계 은행, 지방은행들의 ISMS 인증 취득은 저조했다. KDB산업은행, 수출입은행, SC제일은행, 씨티은행, Sh수협은행, 대구은행, 부산은행은 인증을 받지 않았고 제주은행은 올해 5월 인증 유효기간이 만료됐다.

업계 관계자들은 ISMS 인증이 없는 은행들이 가상자산 사업자에 ISMS 인증을 요구, 확인하는 상황이 발생할 수 있다고 지적한다. 

카드, 증권, 보험 업계에서도 ISMS 인증을 받는 금융회사들이 늘고 있지만 아직 받지 않은 곳도 상당수다. 카드사의 경우 삼성카드, 비씨카드, 하나카드가 최신 ISMS-P 인증을 받았고 KB국민카드와 신한카드는 ISMS 인증을 유지하고 있다. 롯데카드, 우리카드, 현대카드는 인증이 없는 상황이다.

증권사 중에서는 삼성증권, 대신증권, 한국투자증권, 교보증권, 하나금융투자 5곳이 ISMS-P 인증을 받았고 이베스트투자증권, 하이투자증권, KB증권, 유진투자증권, 메리츠종금증권, 키움증권, 한화투자증권, 유안타증권, NH투자증권, SK증권, DB금융투자, 신한금융투자는 ISMS 인증을 유지하고 있다. 증권사들은 비교적 ISMS 인증을 많이 받고 있다.

보험사 중에서는 디비손해보험, 삼성화재해상보험, KB손해보험, 한화손해보험, 현대해상화재보험 등 5곳이 ISMS-P 인증을 받았고 KB생명보험이 ISMS를, 라이나생명보험이 PIMS를 유지하고 있다. 손해보험협회 정회사가 15개, 생명보험협회 정회원사가 22개인 점을 고려하면 보험사의 ISMS 인증 취득은 다른 금융권에 비해 미미한 수준이다.

정부가 해킹, 정보유출 등을 이유로 가상자산 사업들에게 ISMS 인증을 요구하고 있는데 금융회사들도 만만치 않은 보안 사고를 경험했다. KB국민카드, 롯데카드, NH농협카드에서 1억건의 정보가 유출된 사건이 발생했고 현대캐피탈에서는 100만건이 넘는 개인정보가 유출됐었다. 또 NH농협의 전산망이 마비되기도 했고 SC제일은행, 한국씨티은행에서 고객정보가 유출된 사실이 적발된 사례도 있다.

한 보안 전문가는 "ISMS 인증이 모든 보안사고를 막아주지는 않지만 보안사고가 발생할 가능성을 줄여준다"며 "의무화 여부와 상관없이 금융회사들이 스스로 정말 보안을 점검하고 강화하는 차원에서 접근해야 한다. 또 인증을 받은 후 보호체계를 잘 지키고 유지하는 노력이 중요하다"고 강조했다.