[ISMS-P] 가상자산 사업자 대상 주요 확인사항(특화항목 56개)

• 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?

• 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?

• 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?

< 권고 >

• 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성
• 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상 확보
• 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보

< 전자금융감독규정 제8조(인력, 조직 및 예산) >
② 금융회사 또는 전자금융업자는 인력 및 예산에 관하여 다음 각 호의 사항을 준수하도록 노력하여야 한다.

1. 정보기술부문 인력은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상이 되도록 할 것
2. 정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 할 것

③ 제2항 각 호의 사항을 이행하지 못하는 금융회사 또는 전자금융업자는 그 사유 및 이용자 보호에 미치는 영향 등을 설명한 자료를 해당 금융회사 또는 전자금융업자가 운영하는 홈페이지 등을 통해 매 사업연도 종료 후 1개월 이내에 공시하여야 한다. 다만, 허가, 등록 또는 인가를 마친 후 1년이 지나지 않은 금융회사 또는 전자금융업자는 공시하지 아니할 수 있다.

• 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?

– 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML: Anti Money Laundering) 및 테러자금조달금지(CFT: Counter Financing of Terrorism) 관련 시스템 등

• 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가?

< 한국블록체인협회 가이드라인 >
– 핫월렛 : 콜드월렛 보관 비중 = 3: 7

< 가상자산 이용자 보호 등에 관한 법률 시행령 제11조(가상자산의 보관) >
① 가상자산사업자는 법 제7조제3항에 따라 이용자의 가상자산 중 100분의 70 이상의 범위에서 금융위원회가 정하여 고시하는 비율(100분의 80) 이상의 가상자산을 인터넷과 분리하여 안전하게 보관해야 한다.

• 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가?

– 위험 예시: CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등
– 정보통신서비스임에도 온라인보다 오프라인(콜드월렛)의 자산이 큰 곳으로, 거래소에 맞는 위험평가 추가 수행 필요(오프라인임을 고려 시나리오 베이스의 위험평가 필요)

• 가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?

• 위험식별 내용에는 가상자산별 블록체인에서 멀티시그(Multi-Signature)를 제공하지 않는 경우가 포함되어 있는가?

• 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?

• 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?

• 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?

• 조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가?

< 중대한 변화 예시 >
– 가상자산의 핫/콜드 월렛 보유액 비율 변경
– 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설

• 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가?

• 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?(다음 교육시간 준수)

< 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행) >
– 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상)
– 일반직원 : 6시간 이상
– 정보기술부문업무 담당 직원 : 9시간 이상
– 정보보호업무 담당 직원 : 12시간 이상
※ 최고경영자는 정보보호교육을 실시한 이후 대상 임직원에 대해 평가를 실시하여야 한다.

• IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?

• 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?

• 콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리하고 있는가?

• 월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가?

• 월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?

1. 핫월렛
   • (정의) 서비스를 운영하기 위하여 서버 상에 올라가 있는 온라인 월렛
   • (접근권한) 핫월렛에 필수적으로 접근해야 하는 인원(월렛팀장 등)으로 최소화 검토 필요
   • (모니터링)(권고) 핫월렛 접근 시, CISO/CFO 등 담당 임원급에게 알림 메시지 발송
   • (절차) 핫월렛 → 콜드월렛 이관 시, 이관절차 마련 필요(예.1차 1원 송금 및 확인 후, 전체 금액 송금 등)
   • (정책) 핫월렛과 관련한 정책 마련(이관 절차, 승인 절차 등)
   • (인증) 멀티시그가 적용가능한 월렛에 대하여 적용하고, 적용이 불가능한 코인의 경우 그에 상응하는 대책 마련
   • (네트워크) 핫월렛을 보관/관리하기 위한 별도 네트워크 존 구성
   • (암호화) 노드서버 내 WALLET.DAT 파일 보관 금지
2. 콜드월렛
   • (정의) 유출에 대한 리스크를 최소화하기 위하여 대부분의 코인을 분리하여 오프라인에서 보관하는 코인
   • (접근권한) 콜드월렛이 보관되어 있는 금고까지 접근하기 위하여 필요 인원 최소화 및 권한 분산
   • (로그기록) 오프라인으로 보관/관리되는 콜드월렛이므로, 별도 관리대장을 만들어 작성하고 관리대장은 금고내 같이 보관
   • (물리보안) 월렛룸은 외부침입을 고려하여 유리창문, 얇은벽 등 물리적 위험요소가 있는 것은 금지
   • (출입권한) 월렛룸에 출입할 수 있는 인원은 최소한으로 하고, 출입권한을 부여하는 인원은 출입할 수 있는 인원이 가지고 있어야 함
   • (로그검토)(권고) 주기적(월 1회)으로 CCTV와 월렛룸 출입관리대장을 비교 검토

• 중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고하고 있는가?

– 월렛과 관련한 장소/작업 등 모든 곳에는 CCTV 설치 및 모니터링 필수

• 월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?

< 권고 >
– 핫월렛 접근 시, CISO/CFO 등 담당 임원급에게 알림 메시지 발송
– 핫월렛 → 콜드월렛 이관 시, 이관절차 마련 필요(예.1차 1원 송금 및 확인 후, 전체 금액 송금 등)

• 가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?

• 가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가?

• 노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가?

– (권고)1024 이후 포트로 적용

• 월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?

– 핫월렛을 보관/관리하기 위한 별도 네트워크 존 구성

• 월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책을 마련하고 있는가?

• 가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?

• IDC 내부에 무선통신망 설치 및 운용을 금지하고 있는가?

• 월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?

• 콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을때에는 전원을 OFF 또는, 네트워크의 접속을 차단하고 있는가? (목적외 SW 설치 및 인터넷 사용 금지)

• 월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가?

– 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차
– 개인키 passphrase 설정 및 관리 방안
– 개인키의 안전한 보관(핫월렛, 콜드월렛)
– 개인키 접근 및 사용 절차
– 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책
– 개인키 백업 및 소산
– 개인키 관련 책임추적성 확보
– 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링
– 기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)

• 멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 2인 이상의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?

• 외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가?
• 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?

• 월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?

• 핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?

• 신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법, 보안취약점 및 코드 검증에 대한 절차 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?

• 주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있는가?

• 설계단계에서 도출한, 가상자산 월렛 관련 상세 보안요구사항(멀티시그 적용, 공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신, 거래결과 확인방법 등)을 근거로 이행여부를 확인하기 위한 시험을 수행하고 있는가?

• 가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
  – 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
  – 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
  – 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정

• 월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제하고 있는가?

• 중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등) 접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행하고 있는가?

※ 취급업소에서 클라우드 또는 외부 형상관리 솔루션을 통해 소스코드 버전관리를 하는 경우, 중요 소스 프로그램에 대해 외부에서 접속/다운로드 가능한 위험이 존재
※ 상용 KMS 솔루션, HSM 등의 키관리 장비 외에도, 키관리용 소프트웨어를 자체 개발하여 사용하는 경우가 있으므로, 이때 사용되는 소스 프로그램에 대한 안전한 관리가 필요함

• 소스 프로그램 변경이 필요한 경우 해당 프로그램을 개발 또는 시험 시스템에 복사 후 변경하고 있는가?

• 장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용하고 있는가?

– 변경 대상 및 방법 변경 권한자 지정
– 변경 전후내용 자동기록 및 보존
– 변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함
– 원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인

• 안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수하고 있는가?

– 작업요청서에 의한 책임자 승인
– 일괄작업의 최대한 자동화 및 오류 최소화
– 일괄작업 오류 발생 시 책임자 확인 및 조치
– 모든 일괄작업내용 기록관리
– 일괄작업 수행자의 주요업무관련행위 책임자 모니터링

• 개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해ㆍ재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산하고 있는가?

– 클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산하여야 함

• 월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록하고 있는가?
  – 행위이력과 책임추적성과 달리 개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목을 검토하였는가?

• 정보시스템 가동기록을 1년 이상 유지하고 있는가?

• 이용자 중요원장에 직접 접근하여 조회·수정·삭제·삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존하고 있는가?

• 월렛 서버, 가상자산 노드서버 등 취급업소에 특화된 정보시스템에 대해서도 로그 및 접속기록에 대한 검토정책을 누락없이 운영하고 있는가?
  – 특히, 월렛 관련 정보시스템에 대한 로그는 개인키, 암호화키, 패스프레이즈 등이 포함될 수 있으므로 암호화하거나, 불필요한 정보가 과다하게 남지 않도록 저장해야 함

• 전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인하고 있는가?

• 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는 멀티시그를 적용하고 있는가?

* 예. OTP, 인증서, 기기인증 등
* 이용자 보호
– (알림)(권고) 지정된 기기에서만 접근 또는 새로운 기기로 접속 시 알림
– (차단) 일정 규모의 코인 또는 원화 출금 시, 일정시간(10분) 이후 출금 및 알림 기능
– (차단)(권고) 외국 또는 위험국에서 접속 시, 접속 차단 또는 이용자 알림
– 출금 규모별로 인증 수단을 마련하고 그에 따른 통제정책 마련

• 가상자산거래 기록의 보존(15년) 및 관리를 하고 있는가?

• 가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행하고 있는가?

• 월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련하고 있는가?

• 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
  – 대외서비스: 반기 1회 이상
  – 내부시스템: 연1회 이상

• 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가?
• 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행하고 있는가?

※ 24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요