since 1992

대한민국 최고 금융경제지

닫기
한국금융신문 facebook 한국금융신문 naverblog

2024.10.14(월)

금감원 "일부 가상자산 거래소, 고유·고객자산 동일지갑 보관…개선 권고"

기사입력 : 2024-06-17 14:06

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy
ad

7월 가상자산법 시행 앞두고 현장컨설팅…6월 중순 규제 시범적용

가상자산 거래 체계 및 관련 주요 의무 / 자료출처= 금융감독원(2024.06.17)이미지 확대보기
가상자산 거래 체계 및 관련 주요 의무 / 자료출처= 금융감독원(2024.06.17)
[한국금융신문 정선은 기자] 오는 7월 19일 가상자산 이용자 보호법 시행을 앞두고 일부 가상자산거래소가 고유 가상자산과 고객 가상자산을 지갑 간 분리하지 않고 같은 지갑에 보관하고 있는 것으로 나타나 금융당국이 개선을 권고했다.

금융감독원(원장 이복현닫기이복현광고보고 기사보기)은 가상자산사업자의 가상자산 이용자보호법 이행 준비 실태 파악 및 지원을 위해 현장컨설팅을 실시한 결과 및 향후 계획에 대해 17일 발표했다.

금감원은 지난 2024년 2~4월 기간 중 현장컨설팅을 희망한 15개 사업자(원화마켓 5사, 코인마켓 10사)를 대상으로 가상자산법 이행 준비 실태 파악 및 지원을 위한 현장컨설팅을 실시했다.

이 컨설팅은 법률상 사업자의 의무인 이용자 자산 관리, 거래기록 유지 및 보고체계, 이상거래 감시의무를 중심으로 실시했다.

당국은, 사업자의 법규 이행 준비는 전반적으로 양호하나, 일부 미흡사항을 파악했다. 컨설팅 과정에서 이용자자산 분리보관, 콜드월렛 관리 등 일부 미흡사항이 파악되어 이에 대한 개선을 권고했다.

사업자는 법 이행을 위한 조직·인력·시스템을 구축하고 있으며, 세부 내부통제절차를 마련 중이다

먼저 고유·고객 가상자산을 지갑간 분리 없이 동일 지갑에 혼장 보관하는 일이 지목됐다.

고유 가상자산과 고객 가상자산은 각각 관리·통제절차가 달리 적용되어야 하며, 책임소재도 구분되어야 함에도, 동일 지갑에 혼장 보관·관리하여 권한이 없는 자(고유 가상자산 관리자)에 의해 고객 가상자산이 임의 탈취될 가능성이 있다.

이에 따라, 당국은 관리 통제 책임이 구분되도록 원칙적으로 고유·고객 가상자산 간 지갑을 분리(내규에도 반영 필요)하여 보관하되, 고유 및 고객 가상자산에 대한 통제절차를 각각 구분하여 적용․관리하고, 주기적으로 점검 및 분리를 실시하도록 권고했다.

또 가상자산 이전 즉, 콜드월렛에서 핫월렛으로 이전할 때, 인터넷과 연결된 환경에서 전자서명 수행하는 일도 적발됐다. 이는 저장매체의 명칭(콜드월렛)에도 불구하고 가상자산을 인터넷과 분리하여 안전하게 보관하도록 정한 법률에 부합하지 아니하며, 전자서명을 온라인 환경에서 수행할 경우 해킹 등에 의한 개인키 유출 위험이 존재한다.

이에 따락 금감원은 가상자산법 준수, 개인키 탈취 위험 방지 등을 위해 전자서명 절차가 인터넷과 분리된 오프라인 환경에서 이루어질 수 있도록 개선할 것을 자문했다.

콜드월렛 보관비율 관리를 위한 경제적 가치 산정 기준 등 내규 정비 필요성도 짚었다.

다수 사업자가 여전히 감독규정(예고 중)에서 정한 비율(80%)보다 낮은 수준(약 70%)으로 콜드월렛에 가상자산을 보관했다. 법 시행시 ‘경제적 가치’(1년간 1일 평균 원화환산액)의 80% 이상을 콜드월렛에 보관할 것으로 계획 중에 있으나, 경제적 가치의 산정을 위한 각 가상자산별 ‘가격’ 적용 방법을 확정하지 못하고 있는 상황이다.

이에 따라 감독당국은 법률 시행시 콜드월렛 보관비율(80% 이상) 준수의무의 철저한 이행을 당부하는 한편, 콜드월렛 관리, 보관비율 산정 등의 업무분장을 명확히 하고, 합리적인 가격 적용방법 등을 내규에 반영하여 일관되게 적용하도록 권고했다.

가상자산의 내부 이전(콜드월렛→핫월렛) 과정에서 필요한 지갑주소, 수량 등을 수기 입력 또는 과거 거래내역을 복사하여 입력하고, 이 경우 휴먼에러로 인한 지갑주소 오기입이 발생하거나, 지갑주소 오염 공격(Address Poisoning Attack) 등의 대상이 될 가능성이 있다.

이에 따라 당국은 사이버 공격, 오류 등의 예방을 위해 가상자산을 이전받을 지갑주소 화이트리스트(White list)를 운영하거나, 지갑 관리 담당자 외 제3의 감독자가 거래내역 상 지갑주소 등이 적절히 입력되었는지 재확인하는 보완통제 절차 마련토록 권고했다.

콜드월렛 개인키(Private key) 집중 보관, 전자서명 단말기 및 월렛룸 관리 미흡 등도 지목됐다.

개인키의 경우 소수의 매체에 집중 보관하거나, 보관 금고를 접근 통제없이 일반 업무공간에 비치되는 일이 지목됐다. 단말기도 전자서명 전용 단말기(노트북)에 대한 온라인 접근통제 등이 미비한 채 상용 포탈 등에 제한없이 접속하는 부분이 꼽혔다. 월렛룸을 별도로 설치하지 않고 사무실 내에 마련하거나, 출입 가능 인력 미통제도 지목됐다.

당국은 해킹, 탈취 사고 등을 사전에 예방하기 위한 콜드월렛 보관·통제 관련 내부통제체계 구축·운영을 권고했다.

가상자산 보관규모, 거래빈도 등에 따른 위험요소를 감안하여 복수의 매체에 개인키를 분산보관 하도록 했다. 전자서명 전용 노트북의 인터넷 연결을 차단하고, 월렛룸을 통제구역으로 설정하고 업무공간과 물리적으로 분리 등도 제시했다.

또 법률내용 사업자는 불공정 거래 관련 이상거래를 상시 감시하고 이용자 보호 및 건전한 거래질서 유지를 위한 적절한 조치를 취하여야 한다는 점도 강조했다.

대부분 사업자가 이상거래 적출의 기반이 되는 매매자료 축적시스템 구축을 완료했고, 이를 바탕으로 이상거래 적출시스템을 구축 완료하였거나 개발 중이며, 해당 업무를 담당할 조직을 구성하고 전담인력을 충원 중이다.

감독 당국은 법률상 의무의 원활한 이행을 위해 관련 시스템을 법률 시행 전에 구축 완료를 독려했다. 전문성 확보를 통해 실질적인 운영이 가능하도록 담당 인력에 대한 교육 강화 또는 전문인력 충원 등을 권고했다.

기타로, 일부 사업자는 가상자산법 일부 사항에 대해서는 법률 이해 부족 등으로 이에 대한 준비 미흡이 나타나싿.

예치금의 예치·신탁 의무가 있는 원화마켓의 경우, 은행과의 협의 지연 등으로 관련 시스템, 절차 마련이 미흡했다. 다만 금감원은 "다만, 현재는 은행과의 TF(태스크포스) 구성을 통해 관련 시스템 구축 및 내규를 마련 중이며, 법률 시행 전까지 준비가 완료될 것으로 예상한다"고 밝혔다.

금감원은 "감독당국은 6월 중순부터 규제 시범적용(pilot test)을 통해 준비 상황을 최종 점검하고 미비점을 보완할 예정이다"며 "불공정거래 조사 인프라와 사업자의 이상거래 감시체계에 대한 충분한 점검을 통해 안정화하는 등 본격적인 법 시행에 만전을 기할 계획이다"고 밝혔다.

정선은 한국금융신문 기자 bravebambi@fntimes.com

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

데일리 금융경제뉴스 Copyright ⓒ 한국금융신문 & FNTIMES.com

저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지

issue
issue

정선은 기자기사 더보기

증권 BEST CLICK