빗썸의 대규모 비트코인 오지급 사태를 계기로 당국이 실시한 긴급 점검에서 가상자산거래소의 전반적인 시스템 운영 미흡과 구조적 문제점이 적발됐다. 금융당국은 거래소의 전사적인 개편 필요성을 강조하면서 강도 높은 체질 개선에 돌입하겠다고 밝혔다.
금융당국은 6일 신진창 금융위원회 사무처장 주로 빗썸 오지급 사태에 따라 구성된 긴급대응반의 점검결과 공유와 향후 제도개선 방안 논의 등을 위한 간담회를 개최했다. 간담회에는 국내 5대 가상자산거래소 대표와 디지털자산거래소 공동협의체(DAXA) 등이 참석했다.
앞서 빗썸은 지난 2월6일 자사 고객 이벤트 당첨금을 지급하는 과정에서 대리급 직원 실수로 ‘원’ 단위를 ‘비트코인’으로 잘못 입력했다. 이로 인해 이벤트에 참여한 249명 계좌에 총 62만개의 비트코인이 오지급됐다. 당시 비트코인 가격이 1개당 9800만원선이었던 점을 고려하면 전체 오지급 규모는 약 60조원에 달한다.
당시 금융당국은 사태 발생 직후인 지난 2월8일 금융정보분석원(FIU)과 DAXA 공동으로 긴급대응반을 구성했다. 이후 같은달 10일 거래소 이용자 자산 보관현황과 내부통제체계 등을 살펴보기 위한 현장점검과 회계법인 실사, 서면조사 등을 실시했다.
신 사무처장은 “긴급대응반 점검 결과, 빗썸 오지급 사태의 표면적 원인으로 지목된 인적 오류를 넘어 그간 거래소에 누증된 구조적·관행적 문제점도 일부 드러났다”고 설명했다. 특히 24시간 거래가 이뤄짐에도 장부와 지갑 상 고객자산을 상시 대사하는 시스템 운영과 위험관리체계 등이 전반적으로 미비했다는 지적이다.
실제 금융당국 조사 결과 상당수(3개) 거래소는 잔고대사(장부 보유량과 실제 보유량을 비교・검증하는 절차) 수행 과정에서 일 단위(24시간) 대사만을 실시하는 것으로 드러났다. 아울러 잔고대사 과정에서 오지급 등 사고로 인해 큰 괴리가 발생할 시 시스템상 즉시 거래를 중단시키는 거래차단조치(Kill Switch) 등 대응 체계도 미비한 것으로 드러났다. 또 이용자 자산보관 실태에 대해 분기별 회계법인 실사를 받고 있음에도 장부 대비 실제 보유 비율만 외부 공개하는 등 공시도 형식적인 수준에 그쳤다.
거래시스템 관리 부적정도 적발됐다. 상당수 거래소에서 이벤트 보상 지급 등 담당자 수작업이 필요한 고위험거래 처리 과정에서 오지급 등 리스크 통제 및 관리 장치가 부족했기 때문이다.
내부통제시스템마저 미흡했다. 업계 자율의 표준 내부통제기준은 이미 마련됐으나, 이행을 점검·관리하는 준법감시체계 운영이 임직원 가상자산 매매점검 등 소수 항목에 한해 운영된 것으로 확인됐다. 이와 함께 대부분의 거래소에서 우발상황에 대비한 비상계획, 인적 오류 또는 시스템 결함 대응 등 리스크를 적절히 인식·관리하기 위한 위험관리체계가 미흡했다.
‘상시 잔고대사 시스템·리스크 관리·내부통제 실효성 확보’ 중점 개선
금융당국은 이번 긴급대응반의 점검결과가 매우 엄중하다는 입장이다. 1100만명이 넘는 이용자가 약 70조원에 달하는 가상자산을 거래소에 보관 중인 점에서 미흡한 행태를 개선하지 않을 경우, 업권을 뒤흔드는 초대형 악재 발생 가능성을 염두에 둔 것으로 해석된다. 이에 당국은 거래소의 내부통제와 전산시스템, 조직문화 전반에 걸친 근본적인 개편이 불가피하다는 점을 강조했다.
금융당국은 표준화된 상시 잔고대사 시스템 구축, 고위험거래 리스크 관리, 내부통제 실효성 확보 등 3대 축을 중심으로 제도개선을 추진한다는 입장이다.
우선 모든 거래소에 5분 주기의 상시 잔고대사 시스템 구축을 의무화할 예정이다. 잔고대사 결과 대규모 불일치가 발생하는 경우 자동으로 거래를 차단하는 거래차단 조치 기준도 구체화할 방침이다. 외부 회계법인을 통한 실사주기도 현행 분기에서 매월로 단축하고, 실사 결과 공시 범위도 가상자산 종목별 지갑 및 장부상 보유 수량까지 확대한다.
고위험거래 관련 리스크 관리도 제고한다. 이를 위해 고위험거래 항목별 계정 분리와 유효성 확인 시스템 구축 등 업무처리 단계별 사고 예방 및 통제를 위한 기준을 마련할 계획이다. 인적 오류를 방지하기 위해 담당자 지급 입력 단계에서 제3자 교차 검증을 의무화하고, 지급 금액별 승인권 차등화 및 다중 승인체계 구축도 유도한다.
마지막으로 거래소 내부통제체계를 금융회사 수준으로 강화하기 위한 표준 준범감시 프로그램을 제정한다. 점검 주기도 연 1회에서 매반기로 단축하는 동시에 점검결과에 대한 금융당국 보고의무도 도입한다. 아울러 업계 공동 표준 위험관리기준 제정과 위험관리책임자 임명 및 위험관리위원회 구성 등 관리 조직 체계도 구축할 예정이다.
금융당국과 DAXA는 이달 중 제도개선 이행을 위해 필요한 자율규제·개정을 마무리할 방침이다. 오는 5월까지는 상시 잔고대사 등을 위한 전산시스템 구축을 완료할 계획이다. 제도개선 주요 내용은 2단계 가상자산법에도 반영한다.
한편 금융감독원은 빗썸에 대해 가상자산 이용자보호법 위반 여부에 대한 법률 검토 등을 마무리하는 대로 즉시 제재절차에 착수한다.
