국내 가상자산 5개 거래소. 연합뉴스
암호화폐 거래소 코빗은 23일 국내 업계 중 처음으로 SOC 1(Type 2)을 통과했다고 밝혔다. 국제 표준에 따라 재무 관련 내부통제를 평가하는 인증제도로 시스템 보안을 확보하고자 하는 조치다.
SOC 인증(System and Organization Controls)은 기업이 안정적 서비스 제공을 위해 미국공인회계사회(AICPA) 및 국제 감사인증기준위원회(IAASB)가 확인하는 제도다. 글로벌 기준에 따라 고객사가 내부통제를 안정적으로 운영하고 있는지를 평가하고 확인한다.
코빗은 2022년 SOC 1의 ‘Type 1’ 인증을 받은바 있는데 이때 발표한 내부통제 설계 계획을 지난 1년간 실제로 이행한 뒤 이차적인 평가를 거쳤다. 향후 법인이 코빗에서 가상자산 입출금, 원화 입출금, 가상자산 매수매도, 기타 스테이킹 서비스를 이용할 때 SOC 1이 있다면 별도로 재무 내역을 확인할 필요가 없다.
코빗 관계자는 “선제적으로 안전장치를 도입한 것이다”며 “향후 법인의 가상자산 투자에 대비함과 동시에 보안 측면에서 신뢰를 확보하고자 했다”고 말했다.
국내 거래소들도 정보보호 관리체계(ISMS), 국제 표준 인증(ISO) 등 정보보호 및 보안인증을 확대하며 시스템을 강화 중이다. 한국인터넷진흥원(KISA)이 관리하는 ISMS 인증은 총 80개 항목의 적합성 평가를 모두 통과할 경우 주어지는데 특금법(특정금융거래정보법)에 따라 가상자산 사업자는 이 인증을 필수적으로 갖춰야 한다. 다만 거래소들은 ISMS 다음 단계의 인증을 취득하거나 해외 인증까지 얻어내는 방식으로 보안을 확보하고 있다.
국내 최대 거래소 업비트는 2018년 ISMS 인증을 취득하고 2021년에는 ISMS-P까지 얻어냈다. ISMS는 기업이 내부 관리체계를 안정적으로 확보했음을 의미하며 ISMS-P는 개인정보의 흐름까지 인정받은 것이다. 또 지난해 11월에는 업무 연속성 관리시스템 국제 표준인 ISO 22301을 인증받았다. 그 외에도 정보·클라우드·개인 정보 보안 등 ISO 인증을 보유하고 있다.
빗썸도 정보보안 인증을 다수 가지고 있다. 지난해 2월 KISA의 ISMS-P 인증을 취득했고 ISO 4종과 국제 인증인 BS10012도 확보했다. 코인원도 지난해 1월 ISMS를 승인받았으며 ISO27001(정보보안) 인증을 보유 중이다.
고팍스도 국제 정보보호 경영시스템 표준인 ISO/IEC 27001과 ISMS 인증을 2018년 업계 최초로 취득한 바 있다. 2021년에는 ISO/IEC 인증을 다음 단계인 ISO·IEC 27017, 27018까지 확장했다.
유규상 기자
