금융위원회 제공'빗썸 코인 오지급 사태' 재발을 막기 위해 모든 가상자산거래소에 '5분 주기'의 상시 잔고대사(장부 보유량과 실제 보유량을 비교・검증하는 절차) 시스템 구축이 의무화된다.
이벤트 보상 지급 등 수작업이 개입되는 거래는 계정 분리, 자동 검증시스템, 다중 승인 체계 등 사고 예방 장치가 도입되며, 거래소 내부 통제 체계를 '금융회사 수준'으로 강화하기 위한 '표준 준법 감시 프로그램'도 제정된다.
거래소 살펴봤더니… 24시간 단위 잔고 확인, 거래 차단 조치 '미비'
금융위원회는 6일 오후 신진창 사무처장 주재로 금융정보분석원(FIU), 금융감독원, 5대 가상자산거래소 대표, 디지털자산거래소 공동협의체(DAXA) 등과 간담회를 열고 이 같은 내용의 제도 개선 방안을 마련했다고 밝혔다.
앞서 금융위, FIU, 금감원, DAXA는 지난 2월 6일 '빗썸 오지급 사태' 이후 공동으로 긴급대응반을 구성해 지난달 6일까지 약 한 달간 거래소의 이용자 자산 보관 현황, 거래시스템 취약점, 내부 통제 체계 운영 실태 분야를 집중 점검했다.
그 결과, 상당수(3개) 거래소는 잔고대사(장부 보유량과 실제 보유량을 비교・검증하는 절차) 수행하는 데 일 단위(24시간) 대사만을 실시해 오지급 등 사고 발생 시 적시 대응에 한계가 있다는 점이 지적됐다.
또, 잔고대사 과정에서 오지급 등 사고로 인해 큰 괴리가 발생할 경우 시스템상 즉시 거래를 중단시키는 '거래 차단 조치(Kill Switch)' 등 대응 체계도 미비한 것으로 나타났다.
이용자 자산 보관 실태에 대해 분기별로 회계법인 실사를 받고는 있지만, '장부 대비 실제 보유 비율'만 외부 공개하는 등 공시도 형식적으로 이뤄지고 있었다는 게 금융당국의 판단이다.
아울러 상당수 거래소에서 이벤트 보상 지급 등 담당자의 수작업이 필요한 '고위험거래'의 처리 과정에서 △계정 미분리(2개 거래소는 '고유계정'과 '고위험거래 계정'을 별도 분리하지 않아 지급 금액 오기 등 인적 오류 발생에 취약) △자동검증 시스템 미비(4개 거래소는 고위험거래와 관련된 사전 지급 계획과 실제 지급 대상, 종목을 자동 검증하는 시스템 미비) △다중 승인 체계 부재(4개 거래소는 담당자 1인 또는 부서장 1인 승인만으로 지급이 이뤄짐) 등 리스크 통제・관리 장치가 부족했던 것으로 나타났다.
업계 자율의 '표준 내부통제기준'은 마련돼 있었지만, 그 이행을 점검・관리하는 준법감시체계 운영은 미흡했다는 점도 문제로 꼽혔다.
신진창 금융위 사무처장은 "1100만 명의 이용자가 약 70조 원에 달하는 가상자산을 거래소에 보관 중인 만큼, 금융당국은 이번 점검 결과를 매우 엄중하게 받아들인다"며 "거래소의 내부 통제, 전산시스템, 나아가 조직 문화 전반에 걸쳐 근본적인 개편이 불가피하다"고 강조했다.
①잔고 시스템 ②고위험거래 관리 ③내부거래 실효성 확보
금융당국은 이에 △표준화된 상시 잔고대사 시스템 구축 △고위험거래 리스크 관리 △내부통제 실효성 확보라는 '3대 축'으로 제도개선을 추진해 나갈 계획이라고 밝혔다.
우선, 오지급 등 사고 발생시 즉각 대응·조치할 수 있도록 모든 거래소에 5분 주기의 '상시 잔고대사 시스템 구축'을 의무화할 예정이다.
이는 잔고대사 수행시 절차별(데이터 집계・변환・표출 등) 평균 소요 시간, 전산시스템 부하 정도, 업계의 실제 수행 사례(최소 5분) 등을 종합적으로 감안해 설정한 결과란 설명이다.
잔고대사 결과 대규모 불일치가 발생하면 자동으로 거래를 차단하는 '거래 차단 조치 기준' 등을 구체화하고, 외부 회계법인을 통한 실사 주기도 '매 분기'에서 '매 월'로 단축하는 한편, 실사 결과 공시 범위도 '가상자산 종목별 지갑과 장부상 보유 수량'까지 확대한다.
고위험거래 항목별 계정 분리, 유효성 확인 시스템(담당자의 입력 단위·총량 등이 사전 계획과 불일치시 해당 거래가 자동 거부) 구축 등 사고 예방·통제를 위한 기준도 마련된다. 특히 담당자의 지급 입력 단계에선 '제3자 교차 검증'을 의무화하고, 지급 금액별 승인권 차등화, 다중 승인 체계 구축 등을 유도할 계획이다.
아울러 거래소 내부통제체계를 금융회사 수준으로 강화하기 위해 '표준 준법감시프로그램'을 제정해 내부 통제 기준 위반 점검 등을 내실화하고, 점검 주기를 연 1회에서 매 반기로 단축하는 한편, 점검 결과에 대한 금융당국 보고 의무 등도 도입한다.
오지급·전산사고 등 리스크에 대응한 조치가 체계적으로 이뤄지도록 업계 공동의 '표준 위험관리기준'을 마련하고, 위험관리책임자 임명, 위험관리위원회 구성 등 조직・체계도 구축할 계획이다.
금융당국은 이러한 내용은 향후 '2단계 가상자산법'에도 반영할 계획이다.
DAXA와 5개 가상자산거래소 역시 사고 재발 방지, 시장 신뢰 회복 등을 위한 '업계 공동 결의문'을 발표해 자율규제 고도화, 내부 통제 강화, 업계의 자정 노력 의지 등을 밝혔다.
한편, 금감원은 빗썸에 대한 검사를 거쳐 조직・업무・전산시스템 등 내부 통제의 전반적 문제점을 확인했고, 가상자산이용자보호법 위반 여부에 관한 법률 검토 등을 마무리하는 대로 즉시 제재 절차에 착수할 계획이라고 덧붙였다.