[파이낸셜뉴스]  앞으로 가상자산 사업자는 자체 발행한 가상자산을 팔거나 중개할 수 없게 된다. 해킹 위험으로부터 방어할 수 있는 ‘콜드월렛’ 인프라 비중은 거래소당 70% 이상으로 높이는 방안도 추진된다. 가상자산 이용 범죄에 대한 특별 단속은 9월까지 이어간다. 특정금융정보법(특금법)이 유예되는 9월까지 감시 공백을 최소화하겠다는 의지다. 정부가 지난 28일 내놓은 ‘가상자산 관리방안’에 따르면 정부는 특정금융정보법(특금법) 시행령에 이같은 내용을 담을 예정이다.  정부는 구윤철 국무조정실장 주제로 이날 관계부처 차관회의를 열고 관리방안을 발표했다. 먼저 특금법 시행령 개정을 통해 가상자산 사업자 등이 자체 발행한 가상자산에 대해 직접 매매·교환을 중개·알선하는 행위를 금지한다. 또 가상자산사업자·임직원이 해당 가상자산사업자를 통해 가상자산을 거래하는 행위를 막을 예정이다. 해킹 등으로부터 거래참여자의 가상자산을 안전하게 보관토록 콜드월렛 보관비율도 70% 이상 상향 검토한다. 콜드월렛은 USB 보관, 종이 지갑, 하드웨어 지갑 등 인터넷에 연결되지 않아 해킹이 어려운 지갑을 뜻한다. 외부에서 해킹을 하더라도 쉽게 코인 자산을 꺼내기 어려운 시설이다. 콜드월렛은 보안 측면에선 안정적이지만 입출금 등 거래 단계를 원활히 하기 위해서는 인프라와 관리 비용이 들어 거래소에는 부담이다. 이 때문에 중소 거래소에서는 콜드월렛 비중을 높이기는 쉽지 않다. 가상자산 불법행위 범부처 특별 단속은 9월까지 연장키로 했다. 정부는 4월부터 특별단속을 벌여왔다. 경찰은 사기·유사수신 등 41건, 해킹·피싱 등 사이버 범죄 27건을 수사하는 등 불법행위에 대응중이다. ksh@fnnews.com 김성환 기자

[파이낸셜뉴스] 국내 이더리움 블록체인 확장성 프로젝트인 토카막 네트워크의 자체 가상자산인 톤(TON)을 오프라인 가상자산 지갑에서 관리할 수 있게 됐다.  13일 토카막 네트워크는 가상자산 지갑 기업 아이오트러스트와 기술 협력을 위한 업무 협약을 체결했다고 밝혔다.  아이오트러스트는 가상자산 콜드월렛(인터넷이 연결되지 않은 가상자산 지갑) 디센트를 서비스하고 있다. 지난 2018년 출시된 디센트는 현재 월 활성사용자수가 10만명에 달한다. 아이오트러스트는 지난해 디센트에 탈중앙금융(디파이, DeFi) 서비스 지원 기능도 붙여 사용자가 디파이 서비스를 쉽게 이용할 수 있게 했고, NFT(Non-Fungible Token, 대체불가능한토큰) 보관 서비스도 제공하고 있다.  이번 협약으로 톤 토큰 투자자는 디센트 지갑을 통해 톤을 보관하고, 입출금할 수 있게 됐다. 디센트는 향후 토카막 네트워크의 이더리움 확장성 기술인 레이어2를 기반으로하는 블록체인 서비스 토큰들도 순차 지원할 예정이다. 토카막 네트워크 정순형 대표는 “이번 기술협력을 통해 TON의 보안과 안정성을 높이고 토큰을 더욱 편리하게 보관, 관리할 수 있게 됐다”며 “다양한 파트너사들과 협업을 통해 토카막 네트워크의 생태계를 확대함은 물론 서비스의 사용성을 함께 확대하기 위해 노력할 것”이라 말했다. srk@fnnews.com 김소라 기자

#. 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 "가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다"면서 "향후에도 예방과 회복에 최선을 다할 것"이라고 말했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스] 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 “가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다”면서 “향후에도 예방과 회복에 최선을 다할 것”이라고 말했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스] 디지털자산거래소공동협의체(DAXA)는 가상자산사업자(VASP)에게 부여된 가상자산 보관 관련 의무를 지원하고자 ‘가상자산 지갑 운영관리 모범사례 및 해설서’를 마련했다고 12일 밝혔다. 가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)에 따라 마련된 이번 모범사례는 △인적·물리적 보안 절차 △지갑 생성·보유·관리방안 △콜드월렛 내 가상자산의 출금 절차 등의 내용을 담고 있다. 해설서는 구체적인 예시와 절차 등의 설명을 담고 있다. 사업자의 가상자산 보관 업무절차는 외부 정보유출로 인한 해킹 위협 등을 예방하기 위해 대외비로 분류된다. 이에 따라 금융감독원이 올 상반기 현장컨설팅 과정에서 사업자에게 제공한 주요 미흡사항과 모범기준 등을 사례 중심으로 정리한 게 핵심이다. 사업자 간 모범사례 공유를 통해 내부통제 역량이 제고될 것이란 설명이다. DAXA 관계자는 “가상자산이용자보호법 시행 전후로 가상자산사업자의 관계법령 준수를 위한 지원활동을 하고 있다”며 “가상자산업계 자율규제 역량 강화를 위해 힘쓰겠다”고 전했다. elikim@fnnews.com 김미희 기자

[파이낸셜뉴스] 금융감독원이 지난해 가상자산이용자보호법 시행 이후 처음 실시하는 검사에서 ‘이용자 보호’와 ‘불공정 거래 감시’ 체계 구축 현황을 중심으로 들여다보겠다고 사전 공표했다. 금감원은 3일 이 같은 내용을 담은 ‘2024년 하반기 가상자산사업자 검사업무 운영계획’을 발표했다. 이용자 보호 관련해선 중점 점검 사항이 크게 2가지다. 우선 가상자산이용자보호법 준수 여부를 살핀다. 예치금, 가상자산 등 이용자가 맡기는 자산에 대한 보관·관리 규제를 잘 따르고 있는지를 보겠단 뜻이다. 금감원 관계자는 “은행 등 관리기관과의 관리계약 내용 적정성, 예치금 이용료의 합리적 산정 및 지급 여부 등을 확인할 것”이라며 “이용자 자산의 실질 보유 및 고유 가상자산과 지갑 분리·관리 여부, 콜드월렛 분류·관리 적정성 등도 따질 예정”이라고 설명했다. 이용자 예치금은 법상 공신력을 갖춘 은행이 보관·관리하는데 사업자는 이용자에게 해당 예치금에 대한 이용료를 지급해야 한다. 기타 법규상 의무 이행 적정성과 시장 자율규제 준수 및 불건전 영업행위 여부도 점검 대상이다. 금감원 관계자는 “해킹 등 사고 책임 이행을 위한 보험 가입 및 준비금 적립, 거래기록 유지 등을 볼 것”이라며 “불공정·과당 경쟁, 임직원이 사익추구 등 시장 질서 저해 행위 여부도 확인한다”고 짚었다. 법을 잘 준수하고 있는지와 별개로 내부통제에 대한 사점예방적 점검도 실시한다. 가상자산법은 이용자 보호 중요성·시급성 등을 고려해 사업자에 대한 기본적 규제만을 담고 있어 실질적 구조를 갖췄는지 확인하겠다는 것이다. 구체적으로 이용자 명부 작성 적정성, 이용자 가상자산 보관·관리 및 임의 탈취 여부 등을 검토한다. 가상자산 입·출금 차단의 적정성, 임의 출금 차단에 따른 법적분쟁·민원 다수 발생 사업자의 내부통제 적정성 등도 확인 대상이다. 감독당국에 대한 보고 체계 구축 및 이행 현황과 기타 자율규제 준수 적정성 등도 본다. 이번 검사에서 또 하나의 축은 불공정거래 관련 규제 이행 여부다. 가격·거래량의 비정상적 변동 적출 등 이상거래 상시감시 적정성을 보는 작업이다. 시스템 구축·운영, 전담조직 운영 현황 등을 살피고 상시감시 관련 내규 마련 등도 확인한다. 또 이상거래 적출·심리업무 및 수사기관 신고·금융당국 통보체계 등도 점검한다. 검사 대상에는 감독업무 수행 과정에서 확인된 특이사항 등을 감안해 업비트, 빗썸, 코인원, 고팍스, 코빗 등 원화마켓거래소 중 2개사를 포함시킨다. 재무상태가 열악하고 내부통제가 취약한 사업자에 대해선 현장검사를 진행한다. 현장컨설팅, 민원 등을 통해 파악된 내부통제 수준, 재무상황 등을 고려해 코인마켓거래소 3개사, 지갑·보관업자 1개사도 선정한다. 기타 제보·민원 등을 통해 제기되는 중요 위법혐의에 대해선 신속하고 엄정한 테마 검사에 나선다. taeil0808@fnnews.com 김태일 기자

올해 상반기의 해킹·디도스 등 정보통신망 침해범죄 피해액이 지난해 1년 치인 464억원에서 5445억원으로 12배나 급증했다고 한다. 이대로라면 연간으로는 피해액이 지난해의 20배가 넘고 조 단위 규모에 이를 것으로 보인다. 12일 박정현 더불어민주당 의원이 경찰청으로부터 제출받은 자료에서 밝혀진 것이다. 피해 유형별로는 현금 75억1714만원, 유가증권 14억8271만원, 가상자산 5314억3574만원, 기타 41억6337만원으로 가상자산이 거의 대부분이다. 범죄자들은 블록체인 네트워크, 가상자산 지갑, 거래소 등을 해킹해 빼내간 것이다. 가상자산은 일반 투자자도 많이 보유하고 있어서 직접적인 피해를 본 것으로 추정된다. 이용자의 피해가 이렇게 커지고 있는데도 수사력은 크게 미진한 상황이다. 정보통신망 침해범죄는 매일 평균 13건 이상 발생하고 있지만 검거율은 30%에 미치지 않는 것이다. 해킹은 해킹으로만 끝나는 것이 아니다. 문자 재전송사를 해킹해 탈취한 계정으로 대량의 스팸·스미싱 문자를 보내 스미싱과 보이스피싱 범죄로 이어진다. 실제로 최근 스팸 문자가 갑자기 늘었다는 사람이 많은데, 해킹과 무관하지 않다. 스팸 문자 신고는 지난해 3억건에서 올 상반기에만 2억건을 넘어섰고, 스미싱 문자 수는 50만건에서 88만건으로 증가했다고 한다. 최근 가상자산법이 시행됐지만 피해를 줄이는 데는 아직 효과를 보지 못하고 있다. 이 법에 따르면 가상자산거래소는 해킹 등의 사고에 대비하기 위해 고객이 보유한 가상자산의 80%를 '콜드월렛'에 보관해야 한다. 콜드월렛은 인터넷이 연결되지 않은 하드웨어 지갑, USB 보관 등의 오프라인 지갑을 말한다. 정부는 해킹 등의 피해에 대응하기 위해 국민에게 안전한 비밀번호 설정, 스미싱 실행 자제 및 확인, 중요자료 백업 및 암호 설정, 주기적 업데이트, 백신프로그램 활용 등 5대 보안수칙을 권하고 있지만 이에 아랑곳없이 피해는 갈수록 늘고 있다. 연관되는 문제는 정보통신망을 이용한 사이버 범죄의 기승이다. 개인정보가 자기도 모르게 유출돼 사이버 사기나 사이버 금융범죄에 걸려들어 큰 피해를 보는 사람이 계속 늘고 있다. 범죄수법도 날로 지능화돼 피해가 커지고 있지만 사이버 범죄 수사력은 범죄의 발끝도 따라가지 못하고 있다고 해도 과언이 아니다. 그사이 국민들은 거의 무방비로 범죄에 노출돼 있고, 피해신고를 해도 범인을 검거하지 못해 피해를 회복하지도 못하는 실정이다. 그러다 보니 범죄꾼들은 수사력을 비웃듯이 통신망을 해킹하고 흔적도 없이 자취를 감춘다. 사이버 범죄의 대표적인 것은 리딩방을 통한 주식사기다. 최근에는 신용카드 발급을 미끼로 피해자에게 접근, 원격조종하는 앱을 깔게 한 뒤 금융자산을 탈취하는 신종 수법도 등장했다. SNS에 버젓이 가짜정보를 올려놓고 사기행각을 벌여 금전을 탈취한 뒤 종적을 감추는 사례도 판을 치고 있다. 날뛰는 사이버 범죄를 이대로 둬서는 안 된다. 전담 수사청을 만들고 전문인력을 대폭 보강해야 한다. 범죄는 날아다니는데 기어다니는 수사력으로 어떻게 잡을 수 있겠나. 피해자들은 심각한데 수사기관들은 거의 포기하다시피 뒷짐을 지고 있는 모습이다.

"가상자산이용자보호법이 통과되기 전부터 법이 요구하는 수준 이상의 체계를 마련해왔다. 법 시행은 투자자 보호를 위해 반드시 지켜야 할 최소한을 규정한데 의의가 있다." 오는 19일 시행되는 '가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)'에 가상자산거래소 관계자가 밝힌 자신감이다. ■해킹·재난 훈련에 '3억' 포상제까지 10일 업계에 따르면 국내 5대 가상자산 거래소는 이용자보호법 시행에 앞서 담당부서를 신설, 선제적인 시스템을 준비해왔다. 코인원은 자산 보호를 위해 재난 훈련까지 하고 있다. 장애·재해·외부공격 등 사고 발생시 자체 위기 대응력을 강화하기 위해 보안조직 주관 하에 매년 '침해사고 대응훈련' '재해복구 모의훈련' 등 사고대응 모의훈련을 1회 이상 운영하고 있다. 또 사이버 보안 전문 컨설팅기업과 모의해킹(Pen-Test) 훈련을 정기적으로 실시하고 있다. 덕분에 코인원은 지난해 과학기술정보통신부가 주최하는 '제22회 정보보호 대상'에서 가상자산사업자(VASP) 최초로 대상을 수상했다. 코인원 관계자는 "정보기술(IT) 인프라 대상 공격뿐만 아니라 거래소 임직원과의 심리적, 사회적 관계를 이용한 사회공학 공격까지 발생 가능한 모든 침해 시나리오를 상정해 대비한다"고 설명했다. 빗썸은 임직원을 대상으로 '불공정거래 신고 포상제'를 운영한다. 포상금 규모는 최대 3억원이다. 신고 대상은 빗썸 임직원이 △거래 지원을 전제로 대가를 요구하는 행위 △미공개 중요 정보를 누설하거나 이용하는 행위 △시세조종 등 불공정거래행위에 직?간접적으로 가담하는 행위 등이다. 고팍스는 자금세탁방지를 위해 출금 모니터링을 △기술적 검증 △이상징후 탐지 △범죄활동 탐지 △수동심사 △서류심사 △정밀심사 등 6단계로 세분화했다. 특히 3단계 범죄활동 탐지에서는 코인거래소에 특화된 범죄 관련된 룰을 통해 탐지해 보이스피싱, 해킹, 금융사기, 위법적 외환거래, 위장거래, 회피목적 분할 입출금 등으로 파악된 모든 범죄를 필터링한다. 100만원 이하 소액에 대해서도 출금할 때 '트래블룰(자금이동 추적시스템)'을 적용한다. 업비트는 국내 거래소 최초로 호가 정보를 적재하고, 이를 특정 주문 및 체결 상황과 비교할 수 있는 모니터링 시스템을 선제적으로 개발했다. 모니터링 시스템은 동시에 다양한 데이터 분석도구를 갖춰 통합적인 시장 상황 분석이 가능하다. ■"금융권 수준의 안전망 구축" 가상자산이용자보호법 시행으로 가상자산 거래소는 제도권 금융으로 편입된다. 이에 내부 시스템도 금융권 수준에 맞게 정비했다. 빗썸 관계자는 "가상자산이용자보호법과 시행령의 요건 준수를 위해 금융감독원의 이상거래상시감시 모범사례, 한국거래소의 시장감시규정 및 시행세칙 등을 참고해 금융권 수준의 이상거래 모니터링 및 불공정거래행위 규제를 위한 내규를 정비했다"고 강조했다. 거래소들은 회계법인을 통해 정기적으로 자산 실사를 진행한다. 지난 4월에 나온 업비트의 실사 보고서에 따르면 이용자들이 예치한 금액 대비 103.15%, 가상자산 대비 102.82%의 자산을 보유하고 있다. 여기에 가상자산의 항목별 보유 비율까지 공개해 투명성을 높였다. 코인원은 올해 3월 기준 회원 예치 수량 대비 103.20%의 예금과 101.42%, 고팍스는 101.5% 이상의 자산을 각각 보유하고 있다. 코인원은 제휴은행과 업무를 분담했다. 고객의 원화 자산 100%를 제휴은행(카카오뱅크)가 관리한다. 또 코인 거래와 스테이킹 등 서비스 운영에서 고객의 가상자산을 외부로 이동시키지 않는다. 코빗의 경우 콜드월렛(인터넷과 단절된 가상자산지갑) 관리시 관련부서 직원이 100% 오프라인으로 서명하는 등 안전하게 관리한다. 업계 관계자는 "거래소들이 규제 준수 역량을 갖추고 있는 지가 더욱 중요해질 것"이라며 "불공정거래 모니터링 시스템 등을 더욱 고도화해 이용자들이 좀 더 안전한 환경에서 투자할 수 있도록 하겠다"고 전했다. fair@fnnews.com 한영준 기자

[파이낸셜뉴스] "가상자산이용자보호법이 통과되기 전부터 법이 요구하는 수준 이상의 체계를 마련해왔다. 법 시행은 투자자 보호를 위해 반드시 지켜야 할 최소한을 규정한데 의의가 있다." 오는 19일 시행되는 '가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)'에 가상자산거래소 관계자가 밝힌 자신감이다. 시행 이전부터 가상자산 투자자의 자산을 보호하고, 가상자산 작전세력을 잡아내기 위해 노력하고 있다. ■해킹·재난 훈련에 '3억' 포상제까지 10일 업계에 따르면 국내 5대 가상자산 거래소는 이용자보호법 시행에 앞서 담당부서를 신설, 선제적인 시스템을 준비해왔다. 코인원은 자산 보호를 위해 재난 훈련까지 하고 있다. 장애·재해·외부공격 등 사고 발생시 자체 위기 대응력을 강화하기 위해 보안조직 주관 하에 매년 ‘침해사고 대응훈련’ ‘재해복구 모의훈련’ 등 사고대응 모의훈련을 1회 이상 운영하고 있다. 또 사이버 보안 전문 컨설팅기업과 모의해킹(Pen-Test) 훈련을 정기적으로 실시하고 있다. 덕분에 코인원은 지난해 과학기술정보통신부가 주최하는 '제22회 정보보호 대상'에서 가상자산사업자(VASP) 최초로 대상을 수상했다. 코인원 관계자는 "정보기술(IT) 인프라 대상 공격뿐만 아니라 거래소 임직원과의 심리적, 사회적 관계를 이용한 사회공학 공격까지 발생 가능한 모든 침해 시나리오를 상정해 대비한다"고 설명했다. 빗썸은 임직원을 대상으로 '불공정거래 신고 포상제'를 운영한다. 포상금 규모는 최대 3억원이다. 신고 대상은 빗썸 임직원이 △거래 지원을 전제로 대가를 요구하는 행위 △미공개 중요 정보를 누설하거나 이용하는 행위 △시세조종 등 불공정거래행위에 직∙간접적으로 가담하는 행위 등이다. 고팍스는 자금세탁방지를 위해 출금 모니터링을 △기술적 검증 △이상징후 탐지 △범죄활동 탐지 △수동심사 △서류심사 △정밀심사 등 6단계로 세분화했다. 특히 3단계 범죄활동 탐지에서는 코인거래소에 특화된 범죄 관련된 룰을 통해 탐지해 보이스피싱, 해킹, 금융사기, 위법적 외환거래, 위장거래, 회피목적 분할 입출금 등으로 파악된 모든 범죄를 필터링한다. 100만원 이하 소액에 대해서도 출금할 때 '트래블룰(자금이동 추적시스템)'을 적용한다. 업비트는 국내 거래소 최초로 호가 정보를 적재하고, 이를 특정 주문 및 체결 상황과 비교할 수 있는 모니터링 시스템을 선제적으로 개발했다. 모니터링 시스템은 동시에 다양한 데이터 분석도구를 갖춰 통합적인 시장 상황 분석이 가능하다. 업계에서도 좋은 평가를 받고 있어 올해 초 금융감독원 발표행사 등에서 업비트는 거래소들을 대상으로 시장 모니터링 시스템 구축 노하우를 공유하기도 했다. ■"금융권 수준의 안전망 구축" 가상자산이용자보호법 시행으로 가상자산 거래소는 제도권 금융으로 편입된다. 이에 내부 시스템도 금융권 수준에 맞게 정비했다. 빗썸 관계자는 "가상자산이용자보호법과 시행령의 요건 준수를 위해 금융감독원의 이상거래상시감시 모범사례, 한국거래소의 시장감시규정 및 시행세칙 등을 참고해 금융권 수준의 이상거래 모니터링 및 불공정거래행위 규제를 위한 내규를 정비했다"고 강조했다. 거래소들은 회계법인을 통해 정기적으로 자산 실사를 진행한다. 지난 4월에 나온 업비트의 실사 보고서에 따르면 이용자들이 예치한 금액 대비 103.15%, 가상자산 대비 102.82%의 자산을 보유하고 있다. 여기에 가상자산의 항목별 보유 비율까지 공개해 투명성을 높였다. 코인원은 올해 3월 기준 회원 예치 수량 대비 103.20%의 예금과 101.42%, 고팍스는 101.5% 이상의 자산을 각각 보유하고 있다. 코인원은 제휴은행과 업무를 분담했다. 고객의 원화 자산 100%를 제휴은행(카카오뱅크)가 관리한다. 또 코인 거래와 스테이킹 등 서비스 운영에서 고객의 가상자산을 외부로 이동시키지 않는다. 코빗의 경우 콜드월렛(인터넷과 단절된 가상자산지갑) 관리시 관련부서 직원이 100% 오프라인으로 서명하는 등 안전하게 관리한다. 업계 관계자는 “거래소들이 규제 준수 역량을 갖추고 있는 지가 더욱 중요해질 것”이라며 “불공정거래 모니터링 시스템 등을 더욱 고도화해 이용자들이 좀 더 안전한 환경에서 투자할 수 있도록 하겠다”고 전했다. fair@fnnews.com 한영준 기자

가상자산 투자자 보호와 가상자산 사업자의 불공정거래행위 규제를 담은 '가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)'이 오는 19일 시행된다. 금융당국은 지난해 7월 법 제정 이후 하위법령 정비와 조직·인프라 마련 등 시행을 위한 준비를 마쳤다. 하지만 이는 가상자산의 제도권 편입을 위한 시작점에 불과하다. 국회에서 가상자산 발행·유통·공시 및 사업자 규율에 대한 '2단계 입법 절차'를 서둘러야 한다는 지적이 나온다. 이에 가상자산이용자보호법 시행 후 주요 변화와 국내외 법·제도 동향 및 업계 대응 현황, 정책 과제 등을 조명하고자 한다.'가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)'이 시행되면 이용자의 예치금 관리기관과 운용방법이 명확해진다. 자본시장의 투자자예탁금과 마찬가지로 가상자산 투자자들도 예치금에 대한 이자를 받을 수 있는 게 핵심이다. 또 가상자산거래소 등 사업자가 파산해도 관리기관인 은행을 통해 예치금을 돌려받을 수 있다. ■가상자산거래소 망해도 예치금 환급9일 금융당국 및 업계에 따르면 가상자산이용자보호법은 이용자의 예치금을 가상자산사업자의 고유재산과 분리, 은행에 예치 또는 신탁하여 관리토록 했다. 은행은 예치금을 국채·지방채 등 안전자산에 운용, 그 수익을 가상자산사업자에게 지급한다. 가상자산사업자는 해당 수익에서 일부 비용을 제외하고 이용자에게 예치금 이용료로 지급해야 한다. 은행은 가상자산사업자가 파산하거나 사업자 신고가 말소되면 예치금의 지급시기 및 장소를 일간신문과 홈페이지에 공고하고 이용자와 가상자산사업자로부터 예치금에 관한 자료를 제출받아 확인 후 이용자에게 예치금을 직접 지급해야 한다. 이용자의 가상자산은 각종 해킹으로부터도 안전성을 갖추게 된다. 가상자산사업자는 이용자의 가상자산 중 70% 이상 범위에서 금융위원회가 정하는 비율(80%) 이상의 이용자 가상자산을 인터넷과 단절(콜드월렛)하여 보관해야 한다. 그럼에도 해킹과 전산장애 등 사고가 발생했을 경우 사업자는 이에 대한 책임을 이행하기 위하여 감독규정이 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 한다. ■불공정거래 적발시 최대 무기징역 가상자산 시세조종 등 이용자에게 큰 피해를 줄 수 있는 불공정거래에 대한 감시도 강화된다. 가상자산이용자보호법 시행령은 감시 대상이 되는 이상거래를 가상자산의 가격이나 거래량이 비정상적으로 변동하는 경우와 가상자산 가격 등에 영향을 미칠 수 있는 풍문·보도 등이 있는 경우 등으로 정의했다. 또 자본시장법과 달리 가상자산이용자보호법은 시장조성행위를 시세조종행위 금지의 예외로 규정하고 있지 않다. 즉 가상자산에 대한 시장조성행위는 시세조종행위에 해당할 수 있으며, 이 경우 형사처벌 또는 과징금 부과 대상이 된다. 이와 관련, 금융감독원은 가상자산거래소의 이상거래 상시감시체계 기반으로 가상자산 불공정거래 행위를 신속히 적발할 수 있는 인프라를 갖췄다. 금감원과 업비트, 빗썸, 코인원, 코빗, 고팍스 등 5대 원화거래소 간에 데이터 송수신을 위한 전용회선을 설치하는 한편 거래소 상시감시부서와 핫라인을 구축했다. 가상자산 거래소는 이상거래 상시감시체계를 통해 이상거래를 적출한 후 매매자료, 계정개설정보, 주문매체정보, 입출금정보 등의 분석을 통해 불공정거래 혐의를 적발할 방침이다. 이후 금융당국에 통보하거나 수사기관에 신고해야 한다. 불공정거래행위에 대한 형사처벌 및 과징금 부과도 이뤄진다. 징역·벌금 및 과징금의 수준은 불공정거래행위로 발생한 부당이득에 연동된다. 형사처벌의 경우 1년 이상의 징역 또는 부당이득의 3~5배 상당 벌금이 주어지며 최대 무기징역까지 가능하다. 과징금 역시 부당이득의 2배 상당의 금액이 부과되며 부당이득 산정이 곤란할 때는 40억원 이하 과징금이 부과된다. 금융당국은 "그동안 자본시장에서 적발돼 온 불공정거래 유형이 가상자산시장에서도 유사하게 발생하고 있다"며 "불공정거래행위 의심사례를 발견할 경우 즉시 금감원 가상자산 불공정거래 및 투자사기 신고센터에 제보해 주길 바란다"고 당부했다. elikim@fnnews.com 김미희 기자