특히 특금법 제5조 2항, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조 또는 개인정보 보호법 제32조의2에 따른 정보보호 관리체계(ISMS) 인증의 획득을 완료해야 정상적인 사업을 수행할 수 있어 관련 업계의 각별한 주의가 요구되고 있다.
특금법 제2조에 따르면 가상자산을 매도, 매수, 교환, 보관 또는 관리하고 있으면 '가상자산사업자'로 분류된다.
즉, 가상화폐를 매도, 매수 할 수 있는 가상화폐 거래소는 반드시 ISMS 인증을 의무화해야 한다. 또한 가상화폐를 직접 발행하거나 다양한 가상화폐 서비스를 운영하는 가상화폐 관련 기업 그리고 가상화폐를 보관할 수 있도록 지갑 서비스를 제공하는 기업들도 대상이 될 수 있다.
작년 11월 KISA에서 발표한 가상자산 사업자 ISMS 인증보호대책을 살펴보면 '암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다', '월렛(핫/콜드월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안 대책 및 절차를 수립·이행하고 있는가?' 등 암호키(개인키)의 도난, 분실, 복구 방안에 대한 대책을 마련해야 함을 알 수 있다.
따라서 사업자들은 KISA에서 규정하는 '신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차', '개인키의 안전한 보관(핫/콜드월렛)', '개인키 접근 권한자에 의한 유출 및 권한 오남용 방지 대책' '개인키 백업 및 소산', '개인키 관련 책임추적성 확보', '기타(키 분할, 멀티시그, H/W월렛 등)'를 필수적으로 확보해야 한다.
또한 외부 인터넷 구간의 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하는지, 월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하는지, 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하는지 등의 항목도 반드시 수립·이행해야 한다.
ISMS 인증 보호대책을 살펴보면 관리적인 부분으로 해결할 수 있는게 상당수 있지만 가장 중요한 암호키(개인키) 관련 보호는 보안 솔루션의 도움을 필요로 한다. 개인키(암호키)를 보호하는데 가장 많이 사용되는 방법은 HSM이다.
가상자산을 다루는 많은 기업에서 엔트러스트의 nShield HSM을 사용하여 1억개 이상의 암호키를 HSM의 FIPS 140-2 보안경계 내에서 보호하고 있다. 뿐만 아니라 ISMS 인증 보호대책의 기준을 마련한 KISA에서도 신규 루트 인증시스템 구축을 위해서 nShield HSM을 도입했다.
가상자산사업자는 개인키(암호키)를 안전하게 보관하는 것도 중요하지만 사용자들이 불편함 없이 사용할 수 있도록 서비스 되어야 한다. nShield HSM의 경우 송금 정책이나 사용자 인증 정책을 코드화하여 HSM내에서 제어할 수 있기 때문에 운영상 불편함을 최소화할 수 있다.
행정안전부 블록체인 전자증명서 유통시스템, 국내 대표 가상화폐거래소에서의 회원 개인키 보호, KISA의 사설인증 연계시스템 및 국내 주요 SNS 사업자들의 개인키 보호 및 월렛 암호키 보호시스템에 nShield HSM을 도입하여 사용하고 있다.
한편, 엔트러스트는 오는 12일(화) 오후2시에 ‘강화된 ISMS 대비를 위한 암호키 관리 요건과 대응 방안’에 대한 세미나를 진행할 예정이다. 강화된 ISMS의 암호 키 관리 세부 항목, ISMS 암호 키 관리 요건 만족을 위한 HSM 사용 방안, 기타 HSM을 통한 키 관리 사례를 확인 할 수 있다.
엔트러스트 웨비나 참여를 위해서는 토크아이티 홈페이지에서 엔트러스트를 검색하면 참여방법을 확인 할 수 있다.
<저작권자 ⓒ 코인리더스 무단전재 및 재배포 금지>
|
 
많이 본 기사
|
