아하
생활

생활꿀팁

진실한재칼194
진실한재칼194

거래소가 하고 있는 ISMS인증이 무엇인가요?

거래소에서 보안을 위해 ISMS인증을 받는것으로 알고 있습니다. 그러나 잇따른 해킹으로 인해 ISMS 무용론이 나오고 있는데요 ISMS가 정확히 무엇인가요?

55글자 더 채워주세요.
2개의 답변이 있어요!
  • 까칠한담비242
    까칠한담비242

    한국인터넷진흥원에서 보안을 평가한 후 인증하는 ISMS 정보 보호 관리 체계 인증의 경우 암호화폐 거래소 중 회원 수가 100만 명 이상이거나 매출액이 100억 원 이상일 경우 의무적으로 인증서를 획득해야만 합니다.

    이러한 기준에 해당 하는 곳은 업비트, 빗썸, 코인원, 코빗 등이 있습니다. 이들 업체들은 모두 정보 보호 관리 체계 인증서를 획득한 상태입니다. 또한 의무 대상이 아닌 경우에도 고팍스를 비롯해 한빗코도 ISMS 인증을 획득한 바가 있습니다.

    그런데 ISMS 보안 인증에 대해서 맹신해서는 안 될 것입니다. 이것은 말 그대로 기본적인 보안 시스템을 체계적으로 갖추고 있는지를 200개가 넘는 항목을 만들어서 심사하고 인증하는 것일 뿐, 이 인증을 받았다고 해서 해킹에 100% 안전하다고 볼 수는 없습니다. 빗썸도 ISMS 인증을 획득한 상태에서 해킹을 당한 것이 이러한 사실을 증명한다고 할 수 있습니다.

    그렇더라도 위에서 언급된 거래소들은 최소한의 보안 시스템을 마련하려고 시간과 비용을 투자하는 노력을 한 거래소들로서, 해킹에 100% 안전하지는 않지만 자체적인 보안 시스템 구축에 신경을 쓰고 있으므로 지속적으로 보안 수준을 높이기 위해 노력하고 개선해 나가지 않을까 생각합니다.

    또한 투자자들의 입장에서 혹시나 보안성을 기준으로 거래소를 선택하고 이용하시게 된다면 ISMS 인증을 받은 곳이 그렇지 않은 거래소보다 낫다고 생각하며 ISMS 인증 외에도 거래소에 따라서 ISMS 인증과 비슷한 ISO/ICE 27001 보안 인증을 받은 적이 있는지 확인해 보신 후 이용하는 것이 안전한 암호화폐 거래에 도움이 되리라 생각합니다.

    답변이 도움이 되길 바랍니다.

  • 수려한콰가118
    수려한콰가118

    안녕하세요. ISMS에 대하여 답변드리겠습니다.

    • 기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도를 말합니다.

      • 기대효과

        • 정보보호 위험관리를 통한 비즈니스 안정성 제고

        • 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보

        • 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화

        • 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상

        • IT관련 정부과제 입찰시 인센티브 일부 부여

    • ISMS 법적근거

      • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조

      • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조

      • 정보보호 관리체계 인증 등에 관한 고시

    • 인증체계

    과학기술정보통신부:법,제도 개선 및 정책결정, 인증기관 지정 및 관리. 인증위원회:인증신사결과 심의 의결. 인증기관(한국인터넷진흥원):인증제도 운영, 인증위원회 운영, 인증심사원 양성 및 관리. 인증심사원:인증심사 수행.

    • 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영

    • 과학기술정보통신부는 인증제도를 관리·감독하는 정책기관

    • 한국인터넷진흥원은 인증기관으로서 인증제도 운영

    • 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과 심의

    • 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성

    • 인증대상자

      • 자율신청

        • 정보보호 관리체계를 구축, 운영하는 기업(기관)은 의무 대상이 아니더라도 인증 취득을 희망하는 경우 자발적 신청하여 인증취득 가능

      • ISMS인증 의무대상자(정보통신망법 제47조 2항)

        • 인증 의무대상자 확인 및 책임은 기업(기관)에 있으므로 스스로 의무대상 여부를 확인하여 인증 취득 필요

      • 대상자 기준세부분류

        • (정보통신서비스제공자)비고(ISP)전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자인터넷접속서비스, 인터넷전화서비스 등서울 및 모든 광역시에서 정보통신망 서비스제공(SKT,SK브로드 밴드,KT,LGU+등)(IDC)타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자서버호스팅, 코로케이션 서비스 등정보통신서비스부문 전년도 매출액 100억 이하인 영세 VIDC 제외(매출액 및 이용자기준)연간 매출액 또는 세입 등이1,500억원 이상이거나 정보통신서비스 매출액 100억 또는 이용자수 100만명 이상인 사업자인터넷쇼핑몰, 포털, 게임, 예약, Cable-SO 등정보통신서비스 부문 전년도 매출액 100억이상 또는 전년도말 기준 직전 3개월간 일일평균 이용자수 100만명 이상상급종합병원 대학교직전연도12월31일기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교

        • 의무대상자 미인증시 3,000만원 이하의 과태료(정보통신망법 제 76조 근거)

    • 정보보호관리체계 인증 구성 요소

      • 분야인증기준 수정보보호관리과정12정보보호대책92합계104

      • 관리과정 12개

        • 정보보호대책 92개총 104개 인증기준에 대한 적합성 평가

    • ISMS 인증취득 시 혜택

      • 구분시행기관혜택평가항목과학기술정보통신부공공부문 정보시스템기획·구축·운영 사업자, SW개발사업자 선정 시 '소프트웨어 기술성 평가 기준'의 평가항목(기밀보안)에 ISMS 인증취득시 만점(최대5점)부여보안관제 전문업체 지정시 ’보안관제수행능력평가기준‘의 정보보호 인증기업(보안관리체계 보유기업)항목에 만점(최대5점)부여정보보호 전문 서비스 기업 지정시 ’업무수행 능력심사 세부평가 기준‘의 정보보호 인증기업(보안관리체계 보유기업)항목에만점(최대5 점)부여KISA정보보호대상 평가 시 가점 부여한국기업지배구조원상장기업대상 ESG(환경, 사회, 지배구조)평가 일부항목 대체요금할인보험사정보보호 관련 보험(배상책임보험 등)가입시 할인권고국토교통부유비쿼터스 도시 기반 시설에 대해 정보보호 관리체계(ISMS)인증취득을 권고교육부사이버 대학에 대하여 정보보호 관리체계 인증의 취득을 권고ISMS인증
        수수료 할인KISA중소기업 기업 할인(매출액 100억 미만, 30%)

    < 출처 : 한국인턴넷진흥원 >

    감사합니다.