가상자산과 관련된 내용을 정리해봤다. 인증기준 중 기존 인증기준과 다른 부분은 알아둘 필요가 있다.

가상자산이용자보호법과 ISMS-P 인증기준 상의 가상자산거래기록 보유 요구기한이 다른 것 같다.

가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)

제2조 - 정의

  • 가상자산: 경제적 가치를 지님 + 전자적으로 거래/이전될 수 있는 전자적 증표 및 권리
    • 아래의 항목은 제외
      • 교환되지 않는 전자적 증표
      • 게임물의 이용을 통하여 획득한 유ㆍ무형의 결과물
      • 선불전자지급수단
      • 전자등록주식
      • 전자어음
      • 한국은행이 발행하는 전자적 형태의 화폐
      • 전자채권
      • 모바일 상품권

제7조 - 가상자산의 보관

  • 아래 정보가 담긴 이용자명부를 작성ㆍ비치해야 함
    • 이용자의 주소 및 성명
    • 이용자가 위탁하는 가상자산의 종류 및 수량
    • 이용자의 가상자산주소
  • 사업자의 가상자산과 이용자의 가상자산을 분리 보관해야 함
  • 이용자로부터 위탁받은 가상자산과 동일 종류/수량의 가상자산을 실질적으로 보유해야 함

제9조 - 거래기록의 생성ㆍ보존 및 파기

  • 가상자산거래기록을 거래관계 종료한 때부터 15년간 보존해야 함

추가 정의

* 출처: https://011cpo.tistory.com/22

  • 콜드 월렛(Cold Wallet): 인터넷에 연결되지 않거나 스마트 계약과 상호 작용하지 않는 암호화폐 지갑
  • 핫월렛(HotWallet): 항상 인터넷에 연결되어 바로 출금이 가능한 암호화폐 지갑
  • 멀티시그(Multi Signature): 다중서명, 가상자산을 보관하는 전자지갑의 개인 암호키를 3개로 나눠 만들고, 이 중 2개 이상의 열쇠를 이용하면 스마트컨트랙트를 통해 출금이 이뤄지는 방식
  • 패스프레이즈(pass phrase) : 비밀구절, 비밀번호(password)와 유사하지만 24 단어 복구 문구에 추가하여 완전히 새로운 비밀 계정에 대한 액세스를 제공하는 선택적인 패스워드. 패스워드와 같이 사용자와 같은 특정 개체만이 알고 있는 문자열로 전산 시스템에 대한 사용자 인증이나 시스템 자원에 대한 접근 권한 확인에 사용
  • 콜드월렛룸 : 가상화폐 이용자의 전자지갑을 안전하게 보관하기 위한 보안장치

ISMS-P 인증기준 세부점검항목(230711) - 가상자산사업자 대상

[요약]

1. 월렛 관련 주요 작업 내용은 비밀로 관리하고 최소한으로 배포

2. 가상자산 관련 자산목록은 최소한으로 배포

3. 정보보호최고책임자가 정보보안점검의 날을 지정

4. 가상자산 관련 장소 및 전산설비는 내부업무용과 분리 필요

5. 월렛과 관련된 공간은 일반 보호구역과 별도로 분리하여 관리

6. 월렛 관련 시스템/인원은 별도의 네트워크 존 구성

7. IDC 내 무선네트워크 운용 금지

8. 주요정보가 저장된 시스템 작업 시 책임자가 이중확인 필요

 

[숫자 정리]

정보보호 예산: IT 예산의 7% 이상

IT인력: 총 임직원의 5% 이상

정보보호 인력: IT인력의 5% 이상

 

정보보안의 날 점검결과 보고: 매 분기

 

가상자산의 핫 - 콜드 월렛의 보관 비율: 2:8

 

정보보호 및 개인정보보호 교육 시간:

- 임원: 3시간 이상 / CISO는 6시간 이상

- 일반직원: 6시간 이상

- 정보기술: 9시간 이상

- 정보보호: 12시간 이상

 

중요통제구역 관리현황 점검: 매 월

 

정보시스템 가동기록 보관: 1년 이상

이용자 중요원장에 직접 접근하여 작업: 5년 이상 작업 내용 보관

 

가상자산거래기록 보관: 5년 이상

 

취약점 점검: 

- 대외 서비스: 반기 1회 이상

- 내부 서비스: 연 1회 이상

일반 인증기준과 다르거나 추가된 부분을 따로 정리했다. (개인적으로 이해하기 쉽도록 임의대로 요약함)

 

1.1.5 정책 수립

  • 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함
  • 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한

1.1.6 자원 할당

  • 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원 (아래 비율 권고)
    • 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상
    • 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상
    • 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상

1.2.1 정보자산 식별

  • 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공
    • 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등

1.2.3 위험 평가

  • 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율에 대한 경영진의 승인 필요
  • 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우의 위험식별 내용 필요
  • 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험 식별 필요

1.2.4 보호대책 선정

  • 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함

1.4.1 법적 요구사항 준수 검토

  • 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고

1.4.2 관리체계 점검

  • 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고

2.1.1 정책의 유지관리

  • 가상자산과 관련된 대내외 환경 변화 발생 시 영향 검토 및 필요 시 정책, 시행문서 제ㆍ개정
    • 중대한 변화 예시 :
      • 가상자산의 핫 - 콜드 월렛 보유액 비율 변경 (현재 2:8)
      • 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설

2.2.1 주요 직무자 지정 및 관리

  • 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의

2.2.4 인식제고 및 교육훈련

  • 정보보호 및 개인정보보호 연간 교육 계획을 수립하고 경영진의 승인 필요 (아래 유형 별 교육시간 준수)
    • 임원 : 3시간 이상 (단, 정보보호 최고책임자는 6시간 이상)
    • 일반직원 : 6시간 이상
    • 정보기술부문업무 담당 직원 : 9시간 이상
    • 정보보호업무 담당 직원 : 12시간 이상
  • 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행 필요

2.3.3. 외부자 보안 이행 관리

  • 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영

2.4.1 보호구역 지정

  • 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리
  • 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련

2.4.2 출입통제

  • 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제
  • 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고

2.4.5 보호구역 내 작업

  • 월렛룸 내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행

2.5.5 특수 계정 및 권한 관리

  • 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별

2.6.1 네트워크 접근

  • 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근 제어
  • 월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용

2.6.2 정보시스템 접근

  • 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책 마련

2.6.4 데이터베이스 접근

  • 가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별

2.6.5 무선 네트워크 접근

  • IDC 내부에 무선통신망 설치 및 운용을 금지

2.6.6 원격접근 통제

  • 월렛 관련 시스템의 접속은 예외 없이 외부 네트워크를 통한 원격 접근을 금지

2.6.7 인터넷 접속 통제

  • 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성
  • 전용장비 미 사용 시 전원 OFF 또는, 네트워크의 접속 차단(목적외 SW 설치 및 인터넷 사용 금지)

2.7.2 암호키 관리

  • 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가?
    • 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차
    • 개인키 passphrase 설정 및 관리 방안
    • 개인키의 안전한 보관(핫월렛, 콜드월렛)
    • 개인키 접근 및 사용 절차
    • 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책
    • 개인키 백업 및 소산
    • 개인키 관련 책임추적성 확보
    • 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링
    • 기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)
  • 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 보안이 강화된 안전장치 적용
    • 2인 이상의 MFA(Multi-Factor Authentication) 인증
    • 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용)
  • 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리
  • 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관

2.8.1 보안 요구사항 정의

  • 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용

2.8.2 보안 요구사항 검토 및 시험

  • 가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
    • 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
    • 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
    • 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정

2.8.5 소스 프로그램 관리

  • 월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제
  • 중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등) 접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행

2.9.1 변경 관리

  • 장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용
    • 변경 대상 및 방법 변경 권한자 지정
    • 변경 전후내용 자동기록 및 보존
    • 변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함
    • 원장변경 의뢰내용 및 변경결과에 대해 그 적정성에 대해 제3자(감사자 등) 확인
  • 안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수
    • 작업요청서에 의한 책임자 승인
    • 일괄작업의 최대한 자동화 및 오류 최소화
    • 일괄작업 오류 발생 시 책임자 확인 및 조치
    • 모든 일괄작업내용 기록관리
    • 일괄작업 수행자의 주요업무관련행위 책임자 모니터링

2.9.3 백업 및 복구관리

  • 개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해ㆍ재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산
  • 클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산

2.9.4 로그 및 접속기록 관리

  • 월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록 (개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목 검토)
  • 정보시스템 가동기록을 1년 이상 유지
  • 이용자 중요원장에 직접 접근하여 조회·수정·삭제·삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존

2.9.5 로그 및 접속기록 점검

  • 전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인

2.10.4 전자거래 및 핀테크 보안

  • 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용
    • OTP, 인증서, 기기인증 등
  • 가상자산거래기록의 보존(5년) 및 관리

2.10.6 업무용 단말기기 보안

  • 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행

2.11.1 사고 예방 및 대응체계 구축

  • 월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련

2.11.2 취약점 점검 및 조치

  • 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
    • 대외서비스: 반기 1회 이상
    • 내부시스템: 연 1회 이상

2.11.3 이상행위 분석 및 모니터링

  • 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축
  • 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행
    • 24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요

'ISMS-P > ISMS-P 인증제도' 카테고리의 다른 글

MVNO사업자 ISMS 세부항목 안내서  (1) 2025.03.26
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시  (0) 2025.02.07
ISMS-P 인증제도 안내서  (0) 2025.02.02

+ Recent posts

티스토리툴바