가상자산거래소들이 5분마다 잔고를 자동 대조하고 이벤트 지급 시 다중 승인을 받는 방안이 의무화된다. 금융위원회가 '빗썸 오지급 사태' 이후 두 달간 5대 거래소를 점검한 결과 잔고 관리·승인 체계·내부통제 전반에서 구조적 허점이 드러난 데 따른 조치다.

금융위원회는 6일 정부서울청사에서 신진창 사무처장 주재로 5대 가상자산거래소 대표, 디지털자산거래소 공동협의체(DAXA) 등이 참석한 간담회를 열고 이같은 제도개선 방안을 발표했다.

이날 신진창 사무처장은 "1100만명의 이용자가 약 70조원의 가상자산을 거래소에 보관하고 있는 만큼 이번 점검 결과를 매우 엄중하게 받아들인다"며 "거래소의 내부통제, 전산시스템, 조직문화 전반에 걸쳐 근본적인 개편이 불가피하다"고 말했다.

5대 거래소 제각각…표준 내부통제 기준 없다

발단은 올해 2월 빗썸에서 터진 오지급 사고다. 이벤트 당첨금을 지급하는 과정에서 담당자가 원 단위를 비트코인으로 잘못 입력하면서 62만개, 당시 시세로 60조원 상당의 비트코인이 695명의 계좌에 풀렸다. 대리급 직원 한 명의 결재만으로 처리된 일이었다. 빗썸은 20분 만에 사고를 인지하고 서둘러 회수에 나섰지만 약 130억원은 이미 다른 계좌로 빠져나간 뒤였다.

금융위·금감원·금융정보분석원(FIU)·DAXA가 공동으로 긴급대응반을 꾸려 5대 거래소를 한 달간 들여다보자 빗썸만의 문제가 아니었음이 확인됐다. 3개 거래소는 장부와 지갑 보유량을 하루에 한 번만 대조하고 있었다. 사고가 나도 몇 시간 뒤에야 알 수 있는 구조였다. 4개 거래소에는 담당자 입력값이 사전 지급 계획과 다를 때 자동으로 걸러내는 시스템이 없었고, 2개 거래소는 회사 고유계정과 이벤트 지급 계정조차 따로 관리하지 않았다. 준법감시인이 내부통제 현황을 점검하고 이사회에 보고하는 기본 절차를 빠뜨린 거래소도 2곳이었다.

위험관리체계 미비도 업계 공통 문제로 확인됐다. 위험관리기준을 갖추지 않은 거래소가 3곳, 위험관리책임자 임명과 위험관리위원회를 설치하지 않은 곳도 4곳에 달했다. 오지급·전산사고 등 돌발 상황에 대응할 체계 자체가 없었던 셈이다.

5분 잔고 대조·다중 승인 의무화

금융위는 이번 점검 결과를 토대로 거래소들에 세 가지를 요구했다.

먼저 5분 단위 잔고 대조 시스템을 갖춰야 한다. 보유량과 장부 수량을 5분마다 자동으로 비교하고 차이가 크게 벌어지면 시스템이 즉시 거래를 차단하는 킬스위치도 작동해야 한다. 외부 회계법인 실사는 분기에서 매월로 늘리고 공시 내용도 단순 보유 비율을 넘어 가상자산 종목별 지갑·장부상 수량까지 공개해야 한다.

이벤트 보상 등 수작업이 개입되는 지급에는 계정 분리가 의무화된다. 담당자가 입력한 수량이 사전 계획과 다르면 시스템이 자동으로 거래를 거부하고 지급 단계에서는 반드시 제3자 교차검증을 거쳐야 한다. 지급 금액이 클수록 더 많은 사람의 승인을 받는 다중 승인체계도 도입된다.

내부통제는 금융사 수준으로 높인다. 표준 준법감시 프로그램을 새로 만들어 연 2회 이상 위반 여부를 점검하고 결과를 금융당국에 보고해야 한다. 위험관리책임자를 별도로 두고 위험관리위원회도 구성해야 한다.

DAXA는 이달 중 자율규제 개정을 마치고 5월까지 잔고 대조 시스템 구축을 끝낼 계획이다. 이번 제도개선의 주요 내용은 현재 논의 중인 2단계 가상자산법(디지털자산법)에도 반영될 예정이다. 금감원은 빗썸에 대한 가상자산이용자보호법 위반 여부 검토가 끝나는 대로 제재 절차에 들어간다.

최이담 기자