가상자산(암호화폐) 사업자에 대한 신고제 도입 등을 골자로 하는 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 일부개정안이 국무회의를 통과했다. 이에 따라 가상자산 거래소는 실명확인이 가능한 입출금 계정 발급, 정보보호 관리체계 인증(ISMS) 등의 요건을 갖춰야 사업을 할 수 있게 된다. SMS-P 인증을 받아야 하는것은 아니고 선택에 따라서 ISMS 인증이나 ISMS-P인증을 받아야 한다.
첫째는 가상자산을 보관하고 있는 지갑에 대한 정보보호 원칙이 잘 되었고, 둘째는 지갑이 보관하고 있는 고객의 자산이 안전하게 지켜질 수 있는가에 대한 확인이다. 고객의 자산을 안전하게 지키기 위해서는 멀티시그의 기능 적용과 지갑에 대한 관리를 핫월렛, 콜드월렛 사용 비율에 대해 권고를 하는 것이 다르다.
이에 KISA 관계자는 "ISMS는 만능이 아니라 일정 규모 이상이 되면 이 정도의 보안은 갖추라는 관리 체계일 뿐"이라며 "건강검진을 한다고 해서 병이 안 걸리는 게 아니듯, ISMS도 마찬가지"라고 말했다. 그는 "ISMS 인증에는 멀티시그 기능을 적용하라는 항목이 있지는 않지만, 멀티시그로 하는 게 안전하니 적용하는 게 좋다고 권고는 한다"고 덧붙였다.
한편, 해치랩스는 ISMS를 준비하고 있는 가상자산 사업자들이 안전하게 활용할 수 있는 멀티시그 솔루션을 개발했다. Henesis는 멀티시그 월렛을 사용할 수 있도록 API를 제공하며 다양한 보안 기능을 제공하고 있다. 보안을 통제하기 위해서 OTP인증, 지갑 비밀번호 등을 지원하고 있으며, 관리자별 권한 분리를 지원하여 월렛의 입출금 절차를 지원하고 있다. 그리고 지정된 단말이 아닌 다른 IP에서 접속했을 때 해당 로그인을 제한하는 IP White listing을 지원하고 있다고 한다.
