가상자산사업자 대상 ISMS-P 주요 확인사항 (가상자산이용자보호법 )

2024년 7월 19일 시행 예정인 가상자산이용자보호법과 가상자산사업자 대상으로 진행되는 ISMS-P인증 세부점검항목에 대하여 짚어보도록 하겠습니다. 

 

가상자산이용자보호법

가상자산 이용자 보호 등에 관한 법률 | 국가법령정보센터 | 법령 > 본문

 

 

※ 가상자산 관련 용어 의미 

• 가상자산
   : 경제적 가치를 지닌 것으로서 전자적으로 거래 또는 이전될 수 있는 전자적 증표(그에 관한 일체의 권리를 포함한다)를 말합니다. 다만, 다음 각 목의 어느 하나에 해당하는 것은 제외합니다.
  가. 화폐ㆍ재화ㆍ용역 등으로 교환될 수 없는 전자적 증표 또는 그 증표에 관한 정보로서 발행인이 사용처와 그 용도를 제한한 것
  나. 「게임산업진흥에 관한 법률」 제32조 제1항 제7호에 따른 게임물의 이용을 통하여 획득한 유ㆍ무형의 결과물
  다. 「전자금융거래법」 제2조제14호에 따른 선불전자지급수단 및 같은 조 제15호에 따른 전자화폐
  라. 「주식ㆍ사채 등의 전자등록에 관한 법률」 제2조 제4호에 따른 전자등록주식 등
  마. 「전자어음의 발행 및 유통에 관한 법률」 제2조 제2호에 따른 전자어음
  바. 「상법」 제862조에 따른 전자선하증권
  사. 「한국은행법」에 따른 한국은행(이하 “한국은행”이라 한다)이 발행하는 전자적 형태의 화폐 및 그와 관련된 서비스
  아. 거래의 형태와 특성을 고려하여 대통령령으로 정하는 것
• 가상자산사업자
   : 가상자산과 관련하여 다음 각 목의 어느 하나에 해당하는 행위를 영업으로 하는 자를 말합니다.
  가. 가상자산을 매도ㆍ매수(이하 “매매”라 한다)하는 행위
  나. 가상자산을 다른 가상자산과 교환하는 행위
  다. 가상자산을 이전하는 행위 중 대통령령으로 정하는 행위
  라. 가상자산을 보관 또는 관리하는 행위
  마. 가목 및 나목의 행위를 중개ㆍ알선하거나 대행하는 행위
• 이용자
   : 가상자산사업자를 통하여 가상자산을 매매, 교환, 이전 또는 보관ㆍ관리하는 자를 말합니다.
• 가상자산시장
   : 가상자산의 매매 또는 가상자산 간 교환을 할 수 있는 시장을 말합니다.
• 콜드 월렛(Cold Wallet)
  : 인터넷에 연결되지 않거나 스마트 계약과 상호 작용하지 않는 암호화폐 지갑
• 핫월렛(HotWallet)
  : 항상 인터넷에 연결되어 바로 출금이 가능한 암호화폐 지갑
• 멀티시그(Multi Signature)
  : 다중서명, 가상자산을 보관하는 전자지갑의 개인 암호키를 3개로 나눠 만들고, 이 중 2개 이상의 열쇠를 이용하면 스마트컨트랙트를 통해 출금이 이뤄지는 방식
• 패스프레이즈(pass phrase)
   : 비밀구절, 비밀번호(password)와 유사하지만 24 단어 복구 문구에 추가하여 완전히 새로운 비밀 계정에 대한 액세스를 제공하는 선택적인 패스워드. 패스워드와 같이 사용자와 같은 특정 개체만이 알고 있는 문자열로 전산 시스템에 대한 사용자 인증이나 시스템 자원에 대한 접근 권한 확인에 사용
• 콜드월렛룸
   : 가상화폐 이용자의 전자지갑을 안전하게 보관하기 위한 보안장치

 

※ ISMS-P 인증 기준 세부점검항목 : 가상자산 사업자 대상 주요 확인사항 

상세내용과 주요 확인사항은 기존 ISMS-P 인증 기준 세부점검항목과 동일하며, 가상자산사업자 대상 주요 확인사항이 있는 부분만 분류하였으니 공부 시 참고 부탁드립니다. 

 

1. 관리체계 수립 및 운영

항목		상세내용	가상자산 사업자 대상 주요 확인사항
1.1.5	정책 수립	정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.	가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?
			핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?
1.1.6	자원 할당	최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.	가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? * 권고 - 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성 - 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보
1.2.1	정보자산 식별	조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.	가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가? - 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
1.2.3	위험 평가	조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.	위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가? ★「가상자산이용자보호법」(시행 2024.07.19.)이 시행되고 시행령이 시행된다면 핫월렛과 콜드월렛 보관비중은 2:8로 상향조정될 예정입니다. (현재 기준 3:7)
			가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가? - 예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등
			가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?
			위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가?
1.2.4	보호대책 선정	위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.	가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?
1.4.1	법적 요구사항 준수 검토	조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.	경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?
1.4.2	관리체계 점검	관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.	정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?

 

 

2. 보호대책 요구사항

항목		상세내용	가상자산 사업자 대상 주요 확인사항
2.1.1	정책의 유지관리	정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.	조직의 대내외 환경에 중대한 변화(아래 참고) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요 시 제ㆍ개정하고 있는가? * 중대한 변화 예시 : - 가상자산의 핫 - 콜드 월렛 보유액 비율 변경 - 블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
2.2.1	주요 직무자 지정 및 관리	개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.	월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가?
2.2.4	인식제고 및 교육훈련	임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.	정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?(다음 교육시간 준수) - 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상) - 일반직원 : 6시간 이상 - 정보기술부문업무 담당 직원 : 9시간 이상 - 정보보호업무 담당 직원 : 12시간 이상
			IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?
2.3.3	외부자 보안 이행 관리	계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.	제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?
2.4.1	보호구역 지정	물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행하여야 한다.	콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리하고 있는가?
			월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련하였는가?
2.4.2	출입통제	보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.	월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제하고 있는가?
			중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고 하고 있는가?
2.4.5	보호구역 내 작업	보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.	월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?
2.5.5	특수 계정 및 권한 관리	정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.	가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별하고 있는가?
2.6.1	네트워크 접근	네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.	가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근을 제어하고 있는가?
			노드서버들에 대하여 필수적으로 필요한 포트만 허용하고 있는가 - (권고)1024 이후 포트로 적용
			월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용하고 있는가?
2.6.2	정보시스템 접근	서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다.	월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책을 마련하고 있는가?
2.6.4	데이터베이스 접근	테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.	가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?
2.6.5	무선 네트워크 접근	무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립·이행하여야 한다.	IDC 내부에 무선통신망 설치 및 운용을 금지하고 있는가?
2.6.6	원격접근 통제	보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무·장애대응·원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다.	월렛 관련 시스템의 접속은 예외없이 외부네트워크를 통한 원격 접근을 금지하고 있는가?
2.6.7	인터넷 접속 통제	인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.	콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성하고, 사용하지 않을때에는 전원을 OFF 또는, 네트워크의 접속을 차단하고 있는가? (목적외 SW 설치 및 인터넷 사용 금지)
2.7.2	암호키 관리	암호키의 안전한 생성·이용·보관·배포·파기를 위한 관리 절차를 수립·이행하고, 필요 시 복구방안을 마련하여야 한다.	월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가? - 신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차 - 개인키 passphrase 설정 및 관리 방안 - 개인키의 안전한 보관(핫월렛, 콜드월렛) - 개인키 접근 및 사용 절차 - 개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책 - 개인키 백업 및 소산 - 개인키 관련 책임추적성 확보 - 블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링 - 기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)
			멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 2인 이상의 MFA(Multi-Factor Authentication) 인증, 자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용) 등을 활용하여 보안이 강화된 안전장치를 적용하고 있는가?
			외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리하고 있는가? 다만, 노드서버와 월렛이 분리가 불가능한 경우, 그에 대한 보호대책을 마련하고 있는가?
			월렛의 개인키 보안강화를 위하여 멀티시그, 자체 개발 MFA 등 보안강화를 위한 추가 인증수단을 적용하고 있는가?
			핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관하고 있는가?
2.8.1	보안 요구사항 정의	정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.	신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용하고 있는가?
			주요 작업관련 정보시스템 등 월렛 관련 응용프로그램 개발시에는 해당 가상자산의 월렛 관련 상세 위험평가(공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신 등)를 근거로 보안요구사항을 도출하여 이를 설계에 반영하고 있는가?
2.8.2	보안 요구사항 검토 및 시험	사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.	설계단계에서 도출한, 가상자산 월렛 관련 상세 보안요구사항(멀티시그 적용, 공인IP 필요, DMZ구간에 가상자산 노드서버 배치 필요, 불특정 IP/PORT 통신, 거래결과 확인방법 등)을 근거로 이행여부를 확인하기 위한 시험을 수행하고 있는가?
			가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가? - 가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경 - 정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행 - 복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정
2.8.5	소스 프로그램 관리	소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다.	월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제하고 있는가?
			중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등) 접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행하고 있는가? ※ 취급업소에서 클라우드 또는 외부 형상관리 솔루션을 통해 소스코드 버전관리를 하는 경우, 중요 소스 프로그램에 대해 외부에서 접속/다운로드 가능한 위험이 존재 ※ 상용 KMS 솔루션, HSM 등의 키관리 장비 외에도, 키관리용 소프트웨어를 자체 개발하여 사용하는 경우가 있으므로, 이때 사용되는 소스 프로그램에 대한 안전한 관리가 필요함
			소스 프로그램 변경이 필요한 경우 해당 프로그램을 개발 또는 시험 시스템에 복사 후 변경하고 있는가?
2.9.1	변경관리	정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립·이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다.	장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용하고 있는가? -변경 대상 및 방법 변경 권한자 지정 -변경 전후내용 자동기록 및 보존 -변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함 - 원장변경 의뢰내용 및 변경결과에 대해 그 적정성 제3자(감사자 등) 확인
			안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수하고 있는가? - 작업요청서에 의한 책임자 승인 - 일괄작업의 최대한 자동화 및 오류 최소화 - 일괄작업 오류 발생 시 책임자 확인 및 조치 - 모든 일괄작업내용 기록관리 - 일괄작업 수행자의 주요업무관련행위 책임자 모니터링
2.9.3	백업 및 복구관리	정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립·이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다.	개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해ㆍ재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산하고 있는가? - 클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산하여야 함
2.9.4	로그 및 접속기록 관리	서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위·변조, 도난, 분실 되지 않도록 안전하게 보존·관리하여야 한다.	월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록하고 있는가? - 행위이력과 책임추적성과 달리 개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목을 검토하였는가?
			정보시스템 가동기록을 1년 이상 유지하고 있는가?
			이용자 중요원장에 직접 접근하여 조회·수정·삭제·삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존하고 있는가?
2.9.5	로그 및 접속기록 점검	정보시스템의 정상적인 사용을 보장하고 사용자 오·남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다.	월렛 서버, 가상자산 노드서버 등 취급업소에 특화된 정보시스템에 대해서도 로그 및 접속기록에 대한 검토정책을 누락없이 운영하고 있는가? - 특히, 월렛 관련 정보시스템에 대한 로그는 개인키, 암호화키, 패스프레이즈 등이 포함될 수 있으므로 암호화하거나, 불필요한 정보가 과다하게 남지 않도록 저장해야 함
			전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인하고 있는가?
2.10.4	전자거래 및 핀테크 보안	전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.	이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가? * 예. OTP, 인증서, 기기인증 등
			가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?
2.10.6	업무용 단말기기 보안	PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다.	가상자산 취급업소의 주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행하고 있는가?
2.11.1	사고 예방 및 대응체계 구축	침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다.	월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련하고 있는가?
2.11.2	취약점 점검 및 조치	정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.	정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? - 대외서비스: 반기 1회 이상 - 내부시스템: 연1회 이상
2.11.3	이상행위 분석 및 모니터링	내·외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지·대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다.	- 월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축하고 있는가? - 월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행하고 있는가? ※ 24시간 운영 되는 가상자산취급업소 특성상 24*365 모니터링 체계 수립 필요