‘ISMS 인증’과 ‘실명계좌’의 산을 넘지 못한 대다수의 가상자산(가상화폐ㆍ암호화폐) 거래소들이 정리될 것으로 전망된다.
시중 은행들이 실명계좌 개설에 적극 나서지 않아 거래소의 애가 타는 중, 23일 개인정보보호위원회가 2개 가상자산 거래소의 개인정보보호법 위반에 대해 2300만 원의 과태료 처분을 내리면서 업계 전반에 악재가 겹치기도 했다.
26일 업계에 따르면 가상자산 거래소들은 9월 24일까지 개정 ‘특정 금융 거래 정보의 보고 및 이용 등에 관한 법률(특금법)’에 따라 신고를 마쳐야 한다. 관련 신고를 위해 △정보보호 관리체계 인증(ISMS, Information Security Management System) △실명확인된 입출금계정 △대표자 및 임원의 자격요건이 요구된다.
이 과정에서 ‘ISMS 인증’과 ‘실명계좌’가 고비로 여겨진다. 특히 은행과 가상자산 거래소가 실명계좌 거래를 트기 위해 ISMS 인증이 요구되는 만큼, ISMS 인증은 가상자산 거래소로 입성하기 위한 입장권처럼 여겨져왔다. ISMS는 기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 정보보호 관리 체계가 인증기준에 적합한지를 심사해 인증을 부여하는 제도다.
가상자산 투자 열기가 높아짐에 따라 과학기술정보통신부와 개인정보보호위원회는 지난해 11월 가상자산 사업자에 특화된 ISMS 체계를 구축했다. 이 과정에서 가상자산과 관련된 56개 항목을 기존 점검항목에 추가했다.
지난 5월 13일 기준 ISM 인증을 받은 가상자산 거래소는 20개다. 이중 고팍스ㆍ업비트ㆍ코빗ㆍ빗썸ㆍ코인원(인증 순)은 2018년 인증을 받은 거래소로, 인증 기한이 3년인 만큼 올해 말 ISMS 인증이 만료된다. 업계에 따르면 해당 거래소들은 무난히 ISMS 갱신이 가능할 것으로 전망된다.
문제는 영세한 가상자산 거래소들이다. ISMS 인증을 위해 약 381개의 항목을 점검해야 한다. 정보보호 인프라 구축뿐 아니라 정보보안 담당 인력 등 투입해야 하는 비용이 만만치 않다는 것.
ISMS 인증을 맡고 있는 한국인터넷진흥원(KISA) 관계자는 “해당 항목들이 기준을 모두 만족해야 인증이 나간다”라며 “영세한 가상자산 거래소의 경우 준비가 덜 된 상태에서 신청을 하기도 한다”라고 설명했다.
업계에서는 외부 솔루션을 구매해 적용하는 경우 5000만 원에서 1억 원 안팎이 소요되는 것으로 추산하고 있다. 고팍스의 경우처럼 자체 보안 시스템과 기술을 개발할 경우 수십억 원이 투입된다. 고팍스의 정보보호 투자현황 공시에 따르면 ISMSㆍISO27001 인증을 받고 운영하는 데 약 70억 원이 들어갔다.
업계 관계자는 “비용뿐 아니라 운영 데이터도 요구되는 만큼 쉬운 작업이 아니”라며 “운영 데이터가 최소 4개월에서 6개월 이상이 요구되는 만큼 단기간에 투자해 만들 수 있는 것은 아니다”라고 설명했다.
신고 기한이 3개월 남은 만큼, ISMS 인증을 받지 못한 나머지 거래소들이 폐업 수순을 밟을 것이란 전망이다. 금융위는 가상자산 거래소를 60여 곳으로, 민간에서는 200여 개의 가상자산 거래소가 있는 것으로 추산하고 있다. 20개 거래소를 제외한 대다수의 거래소가 문을 닫을 가능성이 크다는 것.
ISMS의 산을 넘어도 ‘실명계좌’의 산이 기다리고 있다. 은행이 가상자산 거래소에 실명계좌를 제공하는 만큼 자금세탁 방지(AML) 책임이 생기기 때문이다. 최근 비트코인 가격이 급락하는 등 가상자산 투자 열기가 사그라들고, 거래소로부터 은행이 얻는 수수료가 기대만큼 크지 않다는 이유로 은행들은 가상자산 시장에서 발을 빼는 모양새다. ISMS 인증을 처음으로 받은 고팍스 또한 최근 BNK부산은행과의 협상이 불발로 끝났다.
특히 KBㆍ하나ㆍ우리금융그룹은 자금세탁 사고에 연루될 우려가 있다는 등의 이유를 꼽으며 관련 사업에 참여하지 않는 쪽으로 가닥을 잡았다. 사실상 가상자산 거래소 검증 작업에 참여하지 않는 것으로 내부 방침을 정한 상태다.
현재 가상자산 거래소 중 실명계좌 제휴 관계를 맺고 있는 거래소는 4곳에 불과하다. NH농협은행은 빗썸ㆍ코인원과, 케이뱅크는 업비트와, 신한은행은 코빗과 손을 잡았다. 해당 거래소들도 현재 은행들의 자금세탁 위혐평가를 받는 중이다.
업계에서는 가상자산 거래가 이뤄지는 업체와 해당 거래를 책임지는 은행을 나눠놓은 점에 대해 지적하기도 했다.
가상자산 거래소 관계자는 “애초 (가상자산 거래) 실행자와 (거래) 책임자를 구분해 놓은 구조”라며 “문제가 생기면 은행 책임이 큰 만큼 가상자산 거래소에서는 압박하기도, 간청하기도 어렵다”라고 설명했다.
다른 가상자산 거래소 관계자도 “특금법 시행령의 취지는 상당히 좋지만, 아무래도 (금융당국에서) 거래소 정리를 위해 이런 방법을 택하지 않았겠나”라고 풀이했다.