“가상자산 투자기업 ‘개인키’ 내부통제 필요” [제14회 국제회계포럼]

주제발표 서계원 삼일회계법인 매니징디렉터

가상자산에 투자한 기업의 '개인키'에 대한 내부통제 필요성이 제기됐다.

서계원 삼일회계법인 매니징디렉터(파트너·사진)는 파이낸셜뉴스와 한국공인회계사회가 23일 서울 여의도 콘래드호텔에서 주최한 제14회 국제회계포럼에서 "가상자산의 '공개키'만 알면 블록체인상 모든 거래기록은 누구나 추적 확인이 가능하다. 하지만 공개키가 누구에게 귀속되는지에 대해선 식별이 불가능하다"며 "기업들은 '개인키'에 대한 내부통제 전략을 수립하는 것이 중요해졌다"고 밝혔다.

감사인은 기업의 보유 가상자산 관련 회계감사 시 토큰을 특정 주소로 이전해보는 것으로 소유권을 확인한다. 감사인은 특정 메시지를 토큰에 기록을 요구하는 디지털 서명 검증 테스트로도 확인한다.

하지만 개인키를 단독 소유하고 있다는 확신을 감사인에게 주기 어려워 개인키에 대한 내부통제가 필요하다는 것이 서 파트너의 설명이다.

그는 "개인키만 있으면 누구나 거래할 수 있는 것이 가상자산의 특징"이라며 "나쁜 마음을 먹은 가상자산 보유자가 사업이 어려워진 특수관계자에게 개인키를 제공, 가상자산이 특수관계자의 것으로 오인해 보여줄 위험이 있다"고 했다.

이에 개인키 생성절차 접근인원을 제한하거나 관여인원에 대한 별도 업무절차를 제시했다. 보관·복사·전송 통제 등 개인키의 물리적 보안도 권고했다. 개인키를 분할하는 등 다중서명 지갑 등으로 보안 수준을 높여야 한다고 봤다.

가상자산거래소에 대한 내부통제에도 목소리를 높였다. 현재로선 가상자산거래소 파산 시 거래소가 수탁보관하는 고객 가상자산의 파산절연(파산 영향에서 벗어남)이 현실적으로 어렵기 때문이다. 세계 3위 글로벌 가상자산거래소였던 FTX의 파산보호 신청으로 가상자산거래소의 파산 위험이 현실화된 상황에서 나온 주장이다.

그는 "수백 번 가상자산을 거래해도 지갑으로 이체 없이 거래소 안에서만 하면 블록체인이 아닌 거래소에만 기록된다. 고객의 가상자산이 거래소의 혼합지갑돼 법적 소유권 이슈가 존재할 수밖에 없다"며 "수탁기관 분리가 좋은 방향이 될 것"이라고 봤다.

미국 나스닥에 상장된 가상자산거래소인 코인베이스의 사업보고서에서 파산절연으로 보호받지 못할 수 있다는 내용이 기재돼 있다. 다만 그는 "외부감사인 입장에선 제3자가 수행하는 통제절차인 수탁에 대해 확신을 얻어야 하는데 서비스 조직 통제 인증 보고서가 필요하다. 제3자가 제대로 수탁을 하고 있는지에 대한 인증이 대상"이라고 설명했다.