ISMS인증이란 기업의 정보보호 관리체계가 인증 기준에 적합한지를 심사해 인증을 부여하는 제도로, 과학기술정보통신부산하 한국인터넷진흥원(KISA)이 주관한다. 오는 2021년 3월 시행 예정인 '특정 금융거래정보의 보고 및 이용 등에 관한 법률'에 따르면 거래소 등 가상자산을 다루는 사업자들은 법률 시행일 6개월 이후인 내년 9월부터 실명계좌와 함께 해당 인증을 취득하고 신고를 완료해야 한다. 

그러나 의무 항목으로 포함된 ISMS인증 준비가 중소기업이 대다수인 가상자산 사업자에게는 버겁다는 지적이 나온다. ISMS 인증에서 평가받는 통제항목은 약 104개, 세부항목까지 세분화하면 총 600개의 항목으로, 해당 기준에 대한 평가를 모두 완료해야 인증을 취득할 수 있다. 

비용 부담도 높다. 보안 업계에 따르면 인증에 소요되는 비용은 컨설팅, 시스템 구축비, 수수료 등을 포함해 약 2억원 가량이다. 최초 심사를 위해 KISA에 1000만원에서 2000만원 가량을 인증수수료로 지불해야 하며, 인증 이후에도 매년 500만원 가량의 추가 비용이 든다. 

거래 수수료 외에 수익 기반이 마땅치 않은 가상자산 거래소에게는 비용 부담이 높지만 특금법 통과를 위한 필수 요소기 때문에 울며 겨자먹기로 인증 통과를 기다릴 수 밖에 없다. 

인증 기준이 높아졌다는 지적도 나온다. 10일 기준 국내 가상자산 거래소 중 ISMS인증을 취득한 곳은 실명인증계좌를 보유한 빗썸, 업비트, 코인원 코빗 4개 거래소와 실명인증계좌를 갖추지 못한 고팍스, 한빗코 2개사를 포함해 총 6개사다. 

업계 관계자는 "지난 2018년 인증을 취득한 업비트와 빗썸이 지난 2019년 초 해킹 사건을 겪은 이후 KISA의 기준이 더욱 까다로워졌다"고 전했다. 

ISMS 심사는 심사 신청이후 예비점검, 기관의 보완조치 단계를 거쳐 최종 심사까지의 단계로 구성된다. 지난해부터 올해까지 인증 심사를 신청한 국내 거래소로는 코인제스트, 코인빗, 지닥, 캐셔레스트, 후오비코리아, 에이프로빗 등이 있지만, 이중 최종 심사를 통과한 곳은 아직 없다. 

이와 관련해 KISA 관계자는 "코로나로 인해 방문 심사가 불가능해 일정이 다소 미뤄진 것"이라 전했다. 하지만 앞서 인증 심사를 신청한 업체 중에는 1년 넘게 예비 심사 단계에 계류된 곳이 다수다. ISMS 심사 후 평균적으로 인증번호를 받기까지 소요되는 기간은 평균적으로 6개월가량이다. 특금법 시행을 위한 취득 기한이 1년 남짓 남은 상태에서 아직 대다수의 업체가 예비 심사 혹은 신청 단계에만 머물러있는 상황이다. 

과도한 컨설팅 비용도 문제로 지적된다. 통상적으로 보안컨설팅 업체를 통해 준비를 하기 때문에 1억원에서 2억원 가량의 비용이 든다. 업계 관계자는 "특금법을 앞두고 인증을 받고자 하는 기업이 줄을 서있는 상황이기 때문에, 인증심사원과 관계가 있는 컨설팅 업체는 부르는게 값"이라고 전했다. 

거래소 관계자는 "오는 3월 특금법 시행을 앞두고 ISMS인증마저 계속 미뤄지고 있어 초조한 상황"이라며 "다만 코로나 이후로 방문 심사 등이 차츰 진행되고 있어 여전히 연내 통과를 기대하고 있다"고 말했다.