박인수, 김상호, 한명욱 님을 만나다
안녕하세요, 정보보안팀 여러분! 각자 자기 소개 한번 부탁드릴게요
박인수
CTO 및 CISO(Chief Information Security Officer) 를 담당하고 있는 박인수라고 합니다.김상호
헥슬란트 옥텟 개발에 참여하고 있고 블록체인 관련 서비스 개발시 코어 설계를 담당하고 있습니다. 뼈대를 잡는 역할이라고 볼 수 있고 헥슬란트의 전반적인 네트워크 담당을 하고 있습니다.한명욱
헥슬란트 전략팀에서 일하고 있고 ISMS 관련 사내 지침과 규정을 작성하고 있습니다.이번 심사를 준비하면서 각자 맡은 업무가 있었나요?
박인수
네, 기존의 업무에서 조금 더 심사기준에 맞는 업무로 변경이 있었습니다. ISMS 총괄업무를 맡게 되었고 인증을 준비하면서 내부(헥슬란트) 와 외부 (컨설팅사) 사이에서 의견이나 관련 법안들을 조율하며 진행절차를 밟아왔는데요 헥슬란트에서 단독으로 진행하기 어려운 부분들을 컨설팅사의 도움을 통해 지침을 마련하는 역할을 했습니다.김상호
주로 저와 인수 님은 인프라 쪽을 담당하면서 명욱 님이 정리한 지침들을 바탕으로 실제 이행하는 작업들을 진행하였습니다. 보안이 미흡한 부분들을 채워넣었죠.한명욱
컨설팅사는 기존 사업자의 기준을 보유하고 있고 이 지침들을 헥슬란트와 같이 가상자산 사업에 맞도록 실제 바꾸는 과정이 필요했습니다. 증적, 지침, 규정등을 서류로 만들어 구비하였고 핫월렛 콜드월렛 지침의 기준을 바로 세웠습니다. 20여가지 정도 되는 지침들이었던 것 같아요.ISMS 인증 취득 준비하면서 어떤 것들을 느끼게 되었고 배우게 되는 계기가 되었나요?
박인수
본격적인 준비기간은 20년 12월 ~ 21년 6월까지 약 7개월 동안 진행하는 과정이었어요김상호
하지만 이번 인증을 통해 우리의 취약점도 알게 된 계기가 되었어요한명욱
상호 님 말씀처럼 어느새 체득이 되어 있더라고요.
80개의 인증 항목은 대표적으로 어떤 것이 있었고 그중 가상자산 사업자용 세부점검 56개 항목을 통과했어요
그중 가장 기억에 남는 항목이나 준비 과정에서의 에피소드가 있다면?
박인수
대여금고가 가장 기억에 남아요. 은행의 대여금고는 보통 지점에서 VVIP가 아니면 주지 않는데김상호
인프라는 잘 되어 있어도 체계적인 것이 아직은 좀 부족했던 것 같아요. 처음에는 “이것까지 해야하나?” 라는 의문이 있던 것들도 어떻게든 맞춰내고 나니 “이걸 다 했네..” 라는 생각이 들었죠. 하고 나니 뿌듯했습니다.한명욱
가상자산 사업의 신설항목이 생기다 보니 마땅한 레퍼런스가 없었어요
듣고보니 특금법 시행 전 인증취득 쉽지만은 않았던 것 같아요 비거래 ‘최초’로 인증을 취득한 헥슬란트는
어떤 것에 집중했을까요?
박인수
특금법 시행령인 9월 24일까지는 무조건 완료해야 한다.김상호
더군다나 두개의 서비스를 준비하다 보니 두개에 대한 증적을 따로 쌓아야 하는 상황이었고 겹치지 않게 준비되어야 하는 미션이 있었어요. 추가로 보안 솔루션 도입에 대한 고민도 있었는데 이유는 보안 솔루션 자체의 비용이 비싸기 때문이죠. 일례로 서버비가 한 대에 10만원이면 보안 솔루션 도입은 15만원정도의 비용이 든다고 보시면 되요. 그러다 보니 아직 시작단계인 스타트업에서는 비용적인 리스크를 효율적으로 운용할 수 있을지에 대한 고민이 있었습니다.한명욱
ISMS를 블록체인 회사가 처음 받다보니 지침 규정들이 아직은 기존 제도에 머물러 있는 경우가 있었어요그동안 불완전하다는 블록체인 시장에서 헥슬란트가 제도적인 기반을 마련하면서 점차 인정받고 있는 상황인 것 같다. 확실히 체감이 하는가?
박인수
올해 4번 정도 심사관분들에게 설명하고 오는 자리가 있었습니다. ISMS 인증 받는 대다수의 고객사가 헥슬란트 옥텟을 쓰다 보니 옥텟 서비스가 어떻게 ISMS에 부합하는지 말씀드리고 오는 자리었습니다.김상호
블록체인을 조금이라도 아는 사람이라면 이번 ISMS 인증 관련해서 여러번 개인적으로 연락이 왔어요한명욱
ISMS를 준비하면서 옥텟의 점유율을 새삼 체감하게 된 계기가 되었어요.다른 비거래소에서는 이번 인증취득 절차에 움직임이 많이 없었어요. 대다수 업체들이 인증 취득을 진행하지 않았는데 헥슬란트는 왜 ISMS 인증을 취득하게 되었나요?
박인수
맞아요. 비거래소 기준으로 아직 인증을 받은 업체는 미비한 상황이에요. 이 지점에서 사실 지갑구축 솔루션사들이 현재 어떻게 움직여야 할지 애매한 상황도 있습니다.마지막으로 9월 24일 특금법이 시행된 이후 블록체인 시장은 어떻게 변화할까요?
박인수
내년에는 블록체인을 가지고 서비스로 도입하는 융합의 시도가 많을거라 생각해요