특금법 개정안 ‘가상자산’ 개념 도입… 정보보호 관리체계 인증 기준도 변화

5일 오후 국회 본회의에서 특정 금융거래정보의 보고 및 이용 등에 관한 법률 일부개정법률안(대안)이 통과되고 있다. 연합

최근 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’(이하 : 특정금융정보법) 개정안이 국회를 통과했다. 개정안의 핵심은 가상자산사업자의 가상자산 거래 등 영업과 관련한 부분이다. 개정안에서는 새로이 가상자산이라는 개념을 도입했다. 가상자산은 가상화폐, 암호화폐 등으로 불리던 비트코인 등에 대한 일반적 명칭으로 국제적 규제 틀에 맞춰 새롭게 정의한 것이다. 또한 가상자산을 매도, 매수하거나 교환 등의 영업을 하는 자를 가상자산사업자로 정하고 가상자산사업자의 신고 의무를 부과하고 있다. 가상자산사업자의 신고에서 특이한 부분은 정보보호 관리체계 인증의 획득이다. 정보보호 관리체계 인증을 획득하지 못하는 경우 신고를 수리하지 않을 수도 있게 함으로써 사실상 가상자산사업자들은 대개의 경우 그 인증을 획득하여야 할 것으로 보인다.

그동안 정보통신 보안 분야에서 주로 논의되고 있던 정보보호 관리체계 인증이 특정금융정보법에서 중요한 의미를 갖게 됨으로써 향후 다른 금융관련 분야에서도 새로운 위치를 차지하게 되는 첫 신호가 될 전망이다. 더 나아가 정보보호 관리체계 자체에도 큰 변화를 가져올 것으로 보인다. 특정금융정보법에 정보보호 관리체계 인증이 담겨진 배경에는 그동안 있어 왔던 가상자산사업자들의 잇단 크고 작은 해킹 등 정보통신 침해사고에서 비롯된 것으로 보인다. 특히 특금법개정안에서 가상자산을 경제적 가치를 지닌 것으로서 전자적으로 거래 또는 이전될 수 있는 전자증표로 정의함으로써 정보보호 관리체계의 도입을 필수적인 요소를 본 것이다. 정보보호 관리체계 인증은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제47조에 따른 것이다. 같은 법 제47조에 따르면 정보보호 관리체계는 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계로 정의하고 있다. 즉 정보보호 관리체계의 목적은 정보통신망의 안정성과 신뢰성을 확보하는 것이다. 그 수단으로써 관리적, 기술적, 물리적 조치를 포함하는 관리체계를 구축하는 것이다.

세부적으로 살펴보면 기술적 부분은 정보통신과 관련하여 파생되는 기술 그 자체를 대상으로 삼게 된다. 정보시스템 접근을 위한 인증, 데이터의 보호, 암호화 등 기술적 취약점을 대비하기 위한 수단을 찾고 이를 적용하는 부분이다. 다음으로는 물리적 부분이다. 정보시스템을 안전하게 관리하기 위해 통제구역을 정하고, 제한구역을 만들고, 접견구역 설치하는 등의 수단을 말한다. 그리고 관리적 부분이다. 최고경영자가 참여하여 정보보호 관리체계의 수립과 운영활동 전반에 걸쳐 의사결정 체계를 수립하는 등 실질적으로 정보보호 관리체계 운영을 한다는 것이다. 그리고 이와 관련한 관리적, 기술적, 물리적 조치의 하나 하나를 정한 것이 정보보호 관리체계 인증 기준이 된다. 정보보호 관리체계 인증을 받으려면 이러한 기준 하나 하나를 정하고 시행함을 보여 주어야 한다. 정보보호 관리체계 인증은 그 효용성에서 지속적인 논란이 있어 왔다. 정보보호 관리체계 인증을 받은 기업이나 기관 등이 해킹 등 침해 사고를 당하는 경우가 잦았기 때문이다. 지난해만 해도 정보보호 관리체계 인증을 받은 가상자산사업자가 해킹 사건으로 수백억 원 가치의 가상자산을 탈취 당하는 사건이 있었다. 또한 개인정보 유출을 비롯하여 다양한 해킹 사건이 정보보호 관리체계 인증을 받은 기업이나 기관들에서 있어 왔다. 논란의 핵심은 결국 정보보호 관리체계가 반드시 필요하다는 주장과 효용성이 크지 않다는 주장의 대립이다. 더 나아가 정보보호 관리체계가 필요하다는 명목으로 법의 한 규제로 자리를 잡게 되고 그 규제를 이행하여야 하는 기업이나 기관들의 부담은 커지고 있다는 논리는 아직도 정리되고 있지 않은 상황이다.

이런 상황에서 가장 사회적으로 민감한 영역인 가상자산사업자에 대한 정보보호 관리체계 인증에 대한 도입은 향후 정보보호 관리체계 인증에 대한 새로운 시각의 형성뿐만 아니라 인증 기준의 변화도 이끌어 낼 상황으로 전개될 것으로 보인다. 정보보호 관리체계 인증은 앞에서 언급한 인증 기준에 준하여 필요한 활동 계획을 수립하고 수립한 기준에 따라 이행이 이뤄지고 있는지를 살피고 이를 제3자가 입증해 주는 것이다. 정보보호 관리체계 인증의 등장은 이러한 일련의 행위가 기업이나 기관의 자율적인 수단에서 비롯되었다. 기업의 입장에서는 정보보호 관리체계 인증을 받음으로써 고객에게 정보시스템이나 정보자산을 안전하게 관리하고 있다는 신뢰감을 줄 수 있다. 또한 정보보호 관리체계라는 틀을 이용해 정보시스템 보안 문제 등을 추진함으로써 시행착오를 줄일 수 있게 되어 보다 체계적인 정보보호를 추진할 수 있게 된 것이다. 그런데 이를 법적인 의무로 정하여 진행하게 되면서 다양한 문제가 파생된다. 가장 큰 문제는 인증을 위한 기준의 경직성이다. 정보시스템은 업무 분야에 따라 다양하게 구축된다. 소요되는 기술도 다르다. 그런데 이를 100 개 내외의 기준으로 통일하여 만든 것이 법에서 정하게 되는 정보보호 관리체계 인증기준인 것이다. 정보통신 분야는 물론 금융, 의료 등 성격이 상이한 모든 분야에서 단지 정보시스템이라는 통일된 관점에서 적용하려 한 것이다. 그러다 보니 새로운 기술이 등장을 하게 될 경우 기존의 인증 기준이 적합한 것인가에 대한 논쟁이 발생하게 된다.

예를 들어 클라우드라는 기술이 등장을 하게 되자 새롭게 클라우드 관련 기준을 추가했다. 클라우드는 정보시스템 자원을 기업이나 기관이 내부에 두지 않고 외부의 자원을 이용하는 서비스이다. 어찌 보면 클라우드 서비스를 이용하는 기업이 일정한 영역에서 스스로 정보보호 문제를 관리할 수 없게 되는 상황인 것이다. 정보보호 관리체계 인증기준의 많은 부분이 서비스를 제공하는 외부 기업과 계약에 의존함에도 불구하고 이를 인증기준에 포함시키게 되어 실효성 논란도 파생된다. 더 큰 문제는 해킹 등 침해 사고로 인하여 인증을 받은 기업이나 기관이 피해를 입거나 이용자에게 손실을 끼치게 될 경우에 야기된다. 인증을 받은 기업이나 기관은 법적인 인증을 내세워 정보보호에 대한 법적 책임을 다했다는 주장으로 이용자 피해를 외면하려는 경향이 생겨난다. 과거 이러한 문제를 법적 분쟁에서 살펴보더라고 정보보호 관리체계 인증을 받은 것으로 인하여 일부 책임이 면책된 경우도 쉽게 찾아볼 수 있다. 결국 기업이나 기관의 인증이 이용자의 피해 방지 보다는 결국 기업이나 기관의 책임 면피용으로 전락하고 있다는 비판도 있어 왔다. 더 나아가 “정보보호 관리체계 인증은 정보보호의 최소한의 수준이다”, “운전면허증이 있다고 해서 교통사고가 안 나는 것은 아니다” 등과 같은 전혀 이상한 논리로 정보보호 관리체계 인증 기업이나 기관의 침해 사고에 대처하는 것이 일반적이었다.

이러한 논란이 발생하는 데는 근본 원인이 있다. 바로 정보보호 관리체계에 대한 인식의 부족이다. 정보보호 관리체계의 근간은 해킹 등 침해 사고를 전제로 만들어진다. 그럼에도 불구하고 국내의 인식은 법에서 정한 안정성과 신뢰성 확보라는 부분에 지나치게 초점을 두고 있는 것이다. 정보보호 관리체계 인증 기준으로 안정성과 신뢰성을 확보할 수 있다고 주장을 하면서도 해킹 등 침해 사고가 발생하면 최소한의 기준이기 때문에 당연히 해킹을 당할 수밖에 없다는 상반된 주장이 나오고 있는 것이다. 이러한 태도는 인증 업무를 담당하고 있는 정부나 인증을 받은 기업, 기관이 동일하게 보이고 있다. 제대로 인식을 하고 있다면 인증을 받은 기업이 침해 사고를 당하면 다음과 같이 구체적으로 사실을 밝혀 주어야 한다. 예상된 해킹 사건이 발생한 경우에서 피해의 예측 규모와 실제 발생한 피해를 비교하여 제시해 주어야 한다. 예를 들어 보유한 정보 자산이 그대로 유출될 경우 피해 규모가 100이라고 가정할 경우 정보보호 관리체계를 도입하여 해킹 등 침해 사고가 발생하면 피해 규모를 20이하로 낮추겠다는 식으로 정하고 이를 구현하기 위한 각종 정보보호를 수단을 도입하여 운영하는 것이 정보보호 관리체계 인증의 핵심이다. 따라서 해킹 사고가 발생하면 이와 관련한 수치를 밝혀 주면 된다. 당초 20을 예측했는데 40의 피해가 발생했고 그 원인은 정보보호 관리체계 인증 기준의 어느 부분의 적용이 부실했거나 누락되었음을 밝혀 주어야 하는 것이다. 아니면 초기에 설정한 위험 대비 수준에서 잘 방어했음을 밝혀야 한다. 그래야 인증 기준에 대한 새로운 검토가 이뤄지고 보완이 되는 것이다.

법에서 정한 기준을 통해 인증을 받아도 해킹 피해를 당연시하는 지금의 구조에서는 그 효용성에 대한 논란은 지속될 것이다. 그러나 이번 특정금융정보법에서의 정보보호 관리체계 인증의 도입으로 그 논란을 수면 위로 부상시키고, 정보보호 관리체계 인증 기준 그 자체의 근간도 바꾸게 될 전망이다. 특히 분산 환경에서 운용되는 가상자산이라는 특성에 중앙집중시스템 구조에서 만들어진 인증기준을 적용하는 문제는 새롭게 대두될 것이다. 은행, 증권 등 전통적인 금융환경과 새롭게 대두된 분산 환경 기반의 가상자산이 혼재되는 상황에서 정보보호 관리체계라는 변수는 분명 금융환경에서 출발하여 다른 영역에서도 새롭게 인식될 것이 분명하다. 정보시스템에 의존되는 기업 환경의 다양성을 감안할 경우 지금과 같은 획일적인 인증 기준이나 체계는 분명 큰 변화를 수반해야 한다. 법적인 규제와 현실 적용이 배치되는 상황이 오래가게 되면 결국 그 피해는 기업과 이용자의 몫이 될 수밖에는 없는 것이다. 기업 입장에서도 더 이상 정보보호 관리체계 구축이나 인증 등의 문제를 경영이 아닌 단지 기술적 문제로 치부해서는 더더욱 안 될 것이다. 정보보호 관리체계는 기업 경영의 중요한 축이 되어야 한다. 경영자들이 정보보호 관리체계에 대한 올바른 인식을 가져가야 하는 시점인 것이다. 정부나 기업도 인증기준의 다양성을 확보하되 그 안에서 통일성을 찾아야 한다. 그래야 기업에게 주는 부담을 줄이고 당초 법에서 추구하는 정보시스템의 안정성과 신뢰성을 확보할 수 있게 된다.

● 한호현 (테크칼럼니스트·공학박사)

- 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.



주간한국