피눈물 흥건한 가상자산시장…고칠 외양간도 없다

특금법 한계…가상자산기본법 6건 계류 중
"신뢰성 보장돼야 산업 지속가능성 담보"

루나·테라 폭락 사태로 가상화폐 투자자들 사이에 비명소리가 낭자합니다. 사토시 나카모토가 ‘비트코인 : 개인과 개인 간 전자 화폐 시스템이라는 문서를 인터넷에 공개한 지 10여년이 흐르는 동안 투자자 보호를 위한 제도가 적절히 마련되지 않고 있다는 방증입니다.

사토시 나카모토의 '비트코인 : 개인과 개인 간 전자 화폐 시스템' / 사진 = 온라인 캡쳐

특금법, 투자자 보호 한계 명확

가상자산 관련 윤석열 정부 국정과제 / 출처 = 제20대 대통령직인수위원회

탈중앙화와 탈규제를 표방하는 가상자산 시장을 규제하는 법률은 현재 국내에서는 특정 금융거래정보의 보고 및 이용 등에 관한 법률, 특금법 뿐입니다. 이 법은 1조에서 밝히고 있듯 자금세탁과 공중협박자금조달을 규제해 범죄를 예방하는데 그 목적이 있습니다. 투자자 보호는 최우선 목표가 아닙니다.

새로 출범한 윤석열 정부는 가상자산 시장 인프라와 규율체계 구축을 국정과제로 삼았습니다. 이를 위해 디지털자산 기본법을 제정하겠다고 천명하면서, 기대효과로 해킹이나 시스템 오류에 대비한 보험제도를 도입해 부당거래 수익을 환수하는 등 이용자가 안전하게 투자할 수 있는 여건을 마련하겠다고 밝혔습니다. 역설적으로 아직 안전투자 여건이 마련되지 않았다는 뜻입니다.

루나와 테라의 폭락 사태는 신뢰 저하로 인한 죽음의 소용돌이가 배경으로 지목됩니다. 이 경우는 자체 설계 결함이 원인이지만, 투자자 피해 측면에서는 해킹이나 시스템 오류도 마찬가지 결과를 초래합니다.

지난해 1월 과학기술정보통신부와 한국인터넷진흥원이 발간한 ‘블록체인 기반 혁신금융 생태계 연구보고서에는 가상자산 시장의 피해 사례들이 기술돼 있습니다. 일부를 발췌해 옮깁니다.

디파이에 이목이 집중되면서 여러 가지 사건 사고들이 발생하고 있기에, 많은 사람들은 혹시나 2017년의 ICO 광풍처럼 또 다시 사기가 판치지 않을까 우려하고 있다. 실제로 시장에서는 우려스러울 정도로 많은 사고 소식이 들려온다.
…
어떤 사고들은 자금탈취나 사기와 같이 명백한 범죄 행위로 인한 것이지만, 명백한 범죄가 아닌 기술적 문제로 인한 사고들 또는 금융 로직의 허점을 파고드는 사고들도 자주 발생한다. 이 중 해킹 등을 통한 자금탈취, 예치된 자금을 탈취해 가는 경우와 같이 명백한 범죄행위는 글로벌 공조를 통해 법적인 처벌을 가하는 것 이외에 달리 방법이 없을 것이다. 반면 기술적 문제로 인해 발생하는 의도하지 않은 사고들 또는 금융 로직 상의 허점 때문에 발생하는 사고들은 철저한 사전 검사 유도, 기술적 결함이 발생할 수 있는 지점에 대한 자발적인 감시 문화 형성, 기관들의 자체 모니터링에 의한 경고 시스템 발동 등을 통해 어느 정도까지는 예방이 가능하다는 측면에서, 어느 정도 딜레마를 완화시킬 여지가 존재한다.

무질서로 얼룩진 각종 사건사고가 이어지며 최소한의 법적 규제가 필요하다는 인식이 확산한 가운데 2020년 3월 국제자금세탁방지지구, FATF의 가상자산 규제 권고안을 반영해 만들어진 것이 특금법입니다.

홍보마케팅 활용되는 ‘ISMS…투자자 안심 금물

ISMS 인증 도안 / 출처 = KISA

특금법을 근거로 정부가 시장에 개입하는 수단이 바로 한국인터넷진흥원, KISA가 관할하는 ISMS(Information Security Management System) 인증과 금융정보분석원, FIU의 VASP(Virtual Asset Service Provider, 가상자산사업자) 신고 수리 제도입니다. 제도가 자금세탁방지에 국한돼 있어 투자자 보호 측면의 기능을 기대하기는 어렵습니다.

그럼에도 가상자산사업자들은 해당 인증을 취득한 사실을 홍보 마케팅 수단으로 이용하는 경우가 많습니다. 시장에서 투자자 신뢰를 획득할 좋은 방편으로 받아들여지고 있는 것입니다.

지난해 12월 15일을 기준으로 ISMS 인증을 획득한 가상자산사업자는 모두 43곳입니다. 산업방송 채널i 보도에 따르면 이 가운데 한 업체의 경우 지난해 8월 자사 지갑에 보관하던 코인이 대량으로 유출되는 사고가 났던 곳입니다. 그런데 불과 한 달 후 ISMS 인증을 취득했습니다.

2021년 12월 기준 ISMS 인증 획득 가상자산사업자 현황 / 출처 = KISA

이와 관련해 KISA 측은 심사당시 보안사고에 의한 유출사고로 판단할 수 없었던 부분”이라면서 현재도 해당 건이 보안사고라고 규정할 수 있는 어떠한 근거도 없다”고 설명했습니다.

아울러 명백한 보안사고로 판명날 경우, 해당기업이 정보통신망법에서 규정한 인증기준을 위반하였는지 여부를 확인하게 된다”며 만약, 사안이 중대할 경우 정보통신망법 제47조제10항에 따른 인증취소 절차를 진행하게 된다”고 덧붙였습니다.

해당 사건은 유출사고의 원인과 책임을 둘러싸고 경찰 수사가 이뤄지고 있는 상황입니다. 사고가 인증 전에 발생한터라 정부 보안인증에 구멍이 났다고 할 상황은 아니지만, 수사 결과에 따라 파장이 예상되는 대목입니다. 수사 결론이 나지 않은 동안에도 해당 기업은 ISMS 인증을 획득한 채 영업을 이어오고 있습니다.

정보보안과 투자자 보호 별개

ISMS는 정보보호를 필요로 하는 기관이나 집단에 보안시스템이 잘 갖춰졌는지와 사고 해결능력이 있는지를 살펴 인증해주는 제도입니다. 정부가 보안성을 인증했다는 뜻으로 받아들여질 수 있는 것입니다.

FIU의 VASP 신고 제도 역시 ISMS 인증을 기반으로 하고 있습니다. FIU가 배포한 가상자산사업자 신고 매뉴얼을 보면 관련 절차는 신고 요건 심사를 포함해 5단계를 거쳐 이뤄집니다. 주요 심사항목으로는 정보보호 관리체계 인증, 즉 ISMS와 실명확인 입출금계정, 대표자와 임원(등기 임원)의 자격요건 등 일정한 요건이 명시돼 있습니다.

FIU의 VASP 신고 절차 / 출처 = FIU

특히 ISMS 인증과 은행으로부터 실명확인 입출금계정을 발급 받았는지 여부, 대표자와 임원의 금융관련 법률 위반 사실이 있는지 여부를 주요하게 검토합니다. 이를 바탕으로 특금법 7조 3항의 불수리 사유에 해당하지 않으면 신고를 수리하게 돼 있습니다. 사업자가 KISA와 은행의 인증을 받아 일정 요건만 갖추면 획득할 수 있기 때문에, ISMS 인증의 취약성이 해소되는 구조가 아닌 것입니다.

박재경 한국폴리텍대 정보보안학과 교수는 이와 관련해 (특금법에는)가상자산 운영을 위해 고객 예치금 방어를 위해 얼마의 디파짓(보증금)과 보험으로 손실보상을 할 수 있고 이런 체계를 갖추라는 내용이 없다”면서 ISMS 인증은 기본 요건을 갖추라는 것. 보안에 관한 것이지 가상자산을 어떻게 관리해서 책임지라는 법이 아니다”라고 설명합니다. 필요 최소한의 요건을 갖추는 정도라는 것입니다.

과학기술정보통신부 관련 제도 정비 과정에서 내놓은 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부 개정안 신설규제 심사안을 보면 피규제자(가상자산사업자)가 부담할 관련 규제 비용은 약 8억 7천만 원 정도로 계산됐습니다. 3년의 일몰기간을 고려하면 연간 3억 원 정도입니다. 다만, 이는 전체 규제비용일 뿐 실제 인증 소요비용은 약 1500만 원 정도입니다.

박 교수는 (규제의 정도가) 사업자등록증 내고 사업하라는 정도 수준이다. 6~8개월 컨설팅 받아서 돈 주고 사면된다”며 KISA나 FIU에서는 요건을 갖춘 신청을 거절할 법적 근거도 없다”고 덧붙였습니다.

"가상자산 해킹 1분기 최고…북한 연루"

마이클 그로나거 체이널리시스 창립자 겸 CEO / 출처 = 나스닥 캡쳐

가상자산 시장 안정화의 필요성은 비단 투자자 보호에만 국한되는 것은 아닙니다. 암호화폐 자금세탁 방지 소프트웨어 전문기업이자 시장 조사 기업인 체이널리시스는 최근 내놓은 '2022년 가상범죄 보고서'를 통해 디파이 프로토콜에서 도난당한 가상자산의 가치가 올해 1분기 사상 최고 수준에 도달했다고 밝혔습니다. 디파이(Defi)는 탈중앙화를 뜻하는 'Decentralize'와 금융을 의미하는 'Finance'의 합성어로 '탈중앙화된 금융'을 말합니다.

보고서에 따르면 올해 1월부터 5월 1일까지 도난된 가상자산은 약 2조 원 규모로, 이 가운데 절반 정도가 북한 정부와 연루된 해킹 단체로 넘어갔습니다. 자금세탁도 활발한 것으로 전해집니다. 훔친 토큰을 디파이 프로토콜을 이용해 비트코인이나 이더리움과 교환한 후 현금화하는 방식입니다. 내부자끼리 허위거래를 통해 가격을 올리는 '자전거래'를 NFT 영역에서 활용해 되팔기도 했습니다.

주식시장에서 벌어졌다면 주가조작으로 처벌받을 일들입니다.

"가상자산 신뢰성 보장돼야 산업 발전 지속가능"

가상자산 기본법 발의 현황 / 출처 = 국회의안정보시스템

현재 국회에 계류된 디지털자산 기본법은 6건입니다. 여당에서는 윤창현 의원과 김은혜 의원이 대표발의한 안이 소관위원회에 접수됐고 권은희, 양경숙, 김병욱, 이용우 의원안도 소관위 심사 단계에 있습니다. 윤 의원은 국회 가상자산특별위원회 위원장입니다.

지난해 11월 발간된 자본시장연구원의 ‘가상자산 거래자 보호를 위한 규제의 기본 방향 보고서에는 현재 국회에 발의된 가상자산업법안은 효율적인 통합 심사를 거쳐 조속히 입법화되어야 할 것”이며 가상자산법안은 단순히 거래자 보호만을 위해 필요한 것이 아니다. 가상자산시장의 신뢰성이 보장되어야 블록체인 산업의 지속가능한 발전이 가능한 것”이라는 제언이 담겼습니다.

아울러 저자들은 국내 가상자산업법의 부재로 인해 미국에서와는 다르게, 가상자산거래업자 고객계정의 가상자산이 파산위험에서 절연되어 있지 못하고 고객 수탁자산의 재산권 보호가 불투명하다”며 이처럼 가상자산거래업자의 재무건전성 위기는 미시건전성 뿐만 아니라 거시건전성을 위협할 수도 있다는 점에서도 가상자산업법의 국회 통과가 시급한 것”이라고 강조했습니다.

‘김치코인으로 주목받은 루나와 테라 폭락 사태에 휘말린 투자자가 대략 20만 명을 넘는 것으로 추정됩니다. FIU의 2021년말 기준 실태조사 결과 국내 가상자산 시장규모는 55조 2천억 원, 일 평균 거래규모는 11조 3천억 원으로 코스닥 시장과 유사한 수준입니다. 이용자 수는 558만 명으로 조사됐습니다.

‘투자책임은 투자자 몫이라는 말로 계속 방치하기에는 너무나 큰 규모입니다. 다시 박 교수의 말입니다.

가상자산 투자했던 제자들이 자살하고 싶다면서 상담하러 오더라고요. 교수님은 정보보안 전공이신데 뭔가 해달라고 하더군요. 가상자산 가치평가 활동을 시작한 이유입니다.”

[신동규 기자 easternk@mbn.co.kr]