정부가 빗썸 비트코인 오지급 사태 같은 사고가 다시 발생하지 않도록 가상자산거래소 관리 강화에 나선다. 고객 자산이 제대로 보관되고 있는지 5분 단위로 확인하는 시스템을 도입하고, 이벤트 보상처럼 사람이 직접 처리하는 거래에는 계정 분리와 다중 승인 절차를 의무화하기로 했다.
금융위원회는 6일 신진창 사무처장 주재로 5대 가상자산거래소 대표와 디지털자산거래소 공동협의체(DAXA) 등이 참석한 간담회를 열고 이 같은 내용의 점검 결과와 제도개선 방향을 발표했다. 이번 조치는 지난 2월 빗썸 비트코인 오지급 사태 이후 금융위·금융정보분석원(FIU)·금융감독원·DAXA가 공동 구성한 긴급대응반의 점검 결과를 바탕으로 마련됐다.
당국은 빗썸 사고를 단순한 실무자 오류가 아닌 거래소 업계 전반의 구조적 취약성이 드러난 사례로 판단했다. 지난 2월 6일 빗썸의 보상금 오지급 사고를 계기로 빗썸과 국내 원화거래소 전반의 고객자산 관리, 거래 시스템, 내부통제 운영 실태를 들여다봤다.
점검 결과 이용자 자산 잔고 대사 체계 미비가 가장 먼저 확인됐다. 상당수 거래소가 장부와 지갑상 자산을 하루 단위로만 대조해 사고 발생 시 즉각 대응이 어려웠고, 대사 기준과 경보·조치 체계도 제각각이었다. 대규모 불일치 때 거래를 즉시 차단하는 '킬 스위치'도 충분히 갖추지 못한 것으로 나타났다.
외부감사와 공시도 형식적 수준에 그쳤다. 거래소들은 회계법인 실사를 받고 있었지만 범위에 차이가 있었고, 공시도 '장부 대비 실제 보유 비율' 위주로만 이뤄졌다. 종목별 실제 보유 수량이나 부족 여부 등이 충분히 공개되지 않아 시장 신뢰를 뒷받침하기엔 한계가 있었다는 게 당국 판단이다.
빗썸 사고와 맞닿아 있는 고위험 거래 관리도 허술했다. 이벤트 보상 지급이나 오입금 환급처럼 수작업이 필요한 거래에서 일부 거래소는 계정을 분리하지 않았고, 사전 계획과 실제 지급 내역을 대조하는 검증 시스템도 부족했다. 담당자 1인이나 부서장 1인 승인만으로 지급이 이뤄지는 사례도 확인돼, 입력 실수를 걸러내는 통제 장치가 미흡한 것으로 나타났다.
준법감시와 위험관리 체계도 허술했다. 내부통제기준은 있었지만 점검과 보고 등 기본 절차가 제대로 이행되지 않았고, 당국은 이를 오지급 사고의 구조적 원인으로 봤다.
금융당국은 우선 모든 거래소에 5분 주기의 상시 잔고 대사 시스템 구축을 의무화하기로 했다. 장부와 블록체인상 수량 사이에 유의미한 차이가 발생하면 자동 경보가 울리도록 하고, 대규모 불일치가 확인되면 거래를 자동 차단할 수 있는 기준도 마련할 방침이다. 24시간 거래가 이뤄지는 시장 특성에 맞춰 이용자 자산 이상 징후를 실시간에 가깝게 포착하겠다는 의미다.
고위험 거래 통제 장치도 대폭 강화된다. 수작업이 개입되는 거래에는 계정을 별도로 분리해 운영하고, 사전 지급계획과 실제 지급 내역이 일치하는지 자동 검증하는 시스템을 갖추도록 할 계획이다. 입력자와 승인자를 분리하고, 금액이나 거래 위험도에 따라 다단계 승인체계를 적용하는 방안도 추진한다. 빗썸 사고처럼 단순 오입력이 대규모 사고로 번지지 않도록 사전 차단 장치를 촘촘히 깔겠다는 것이다.
내부통제 체계는 금융회사 수준으로 강화된다. 금융당국은 표준 준법감시 프로그램과 표준화된 위험관리체계 기준을 새로 마련해 거래소 내부통제의 실효성을 높일 계획이다. 자율규제에만 기대지 않고 준법감시와 위험관리 체계를 보다 표준화·상시화해 거래소 운영 전반을 관리하겠다는 방향이다.
금융위와 DAXA는 4월 중 자율규제 제·개정을 마무리하고, 5월까지 상시 잔고대사 등 제도개선에 필요한 전산시스템 구축을 완료할 계획이다. 또 제도개선의 실효성을 높이기 위해 관련 내용을 2단계 가상자산법에도 반영하기로 했다.
빗썸에 대한 별도 후속 조치도 이어진다. 금융당국은 빗썸 검사와 법률 검토를 거쳐 제재 절차를 진행할 방침이다.
송혜영 기자 hybrid@etnews.com
