[디지털데일리 박현영기자] 오는 2021년 3월 시행되는 특정금융정보법(특금법) 개정안에 따라 가상자산사업자의 ISMS(정보보호관리체계) 인증이 의무화된 가운데, ‘가상자산 지갑 관리’가 ISMS 인증의 핵심이 될 전망이다.

17일 블록체인 기술 기업 해치랩스는 ISMS 컨설팅기업 소프트와이드시큐리티, 가상자산 거래소 플라이빗과 함께 ‘가상자산사업자 대상 ISMS 인증 대비 웨비나’를 개최하고 인증에 필요한 요건들을 소개했다.

조영환 소프트와이드시큐리티 책임은 한국인터넷진흥원(KISA)가 밝힌 준비 요건을 토대로 ISMS 준비 방안에 대해 발표했다. 그는 “가상자산 서비스에서 발생할 수 있는 위험을 빠짐없이 식별하고 있는지가 중요하다”며 “CEO가 사망하면 프라이빗키가 사라지는 건 아닌지, 자산이 내부에서 유출되는 건 아닌지 등 모든 위험을 살펴봐야 한다”고 강조했다.

그 중에서도 가장 중요한 건 지갑이다. KISA는 핫월렛(온라인 상태의 가상자산 지갑)과 콜드월렛(오프라인 상태의 지갑)의 자산 보유 비중을 3:7로 할 것을 권고하고 있다. 해킹 공격은 핫월렛을 상대로 발생하기 때문이다. 만약의 경우를 대비해 1:9까지 권고하기도 한다. 콜드월렛에 자산을 빼놨다면, 콜드월렛을 위한 공간을 별도로 분리하고 CCTV를 설치해 관리하는 게 ISMS 취득에 효과적이다.

콜드월렛 비중뿐 아니라 ‘멀티시그’를 통한 보안 체계도 신경써야 한다. 멀티시그란 지갑에 총 3개의 키를 적용한 뒤 거래 발생을 위해선 2개의 키로 서명해야 하는 것을 뜻한다. 해커가 키 1개를 탈취해가더라도 지갑 안에 담긴 자산을 빼가지 못하도록 하는 방식이다. 조 책임은 “ISMS 실사 시 멀티시그 구축 현황을 살펴보고, 멀티시그가 적용되지 않은 코인이 있으면 보호대책은 어떤지도 살펴본다”고 설명했다.

이날 웨비나에서 해치랩스는 멀티시그 지갑을 API 형태로 제공하는 ‘헤네시스 월렛’에 대해 소개했다. 헤네시스 월렛은 해치랩스에서 개발한 지갑 솔루션으로, 플라이빗 등 가상자산 거래소가 헤네시스 월렛을 통해 ISMS 인증을 획득했다.

헤네시스 월렛이 제공하는 3개 키는 사용자의 키, 헤네시스 키, 그리고 백업 키다. 지갑에서 자산을 출금하려면 3개 키 중 2개 키의 서명을 거쳐야 하고, 3개 키는 모두 암호화해 저장된다. 만약 해커가 키를 탈취하더라도 암호화된 키이므로 사용이 불가능하다. 멀티시그와 암호화를 통해 이중 보안을 구축한 방식이다.

김민석 해치랩스 이사는 “직접 멀티시그 지갑을 개발하지 않아도 쓸 수 있도록 일주일만에 연동 가능한 API를 제공한다”며 “서비스에 연동된 이후에는 실시간으로 지갑 현황을 관리할 수 있도록 대시보드도 제공한다”고 밝혔다.

<박현영기자> hyun@ddaily.co.kr