[이데일리 최훈길 기자] 디지털자산(가상자산) 거래소 빗썸이 온체인 상에서 고객 자산을 따로 분리 보관하지 않은 탓에 자산 보유량을 초과한 비트코인 60조원을 잘못 지급한 사태가 발생하자, 장부거래 문제를 넘어 금융당국의 느슨한 관리 감독 책임이 더 크다는 주장이 힘을 얻고 있다.

이른바 ‘유령 코인’ 가능성을 2년 전에 적발했던 당국이 고객 자산 분리 보관 문제를 법으로 강제하지 않은 채 업계 자율 가이드라인으로만 맡겨둬 이 같은 사태를 초래했다는 이유다. 이에 여당인 더불어민주당은 법 개정을 통해 재발 방지에 나설 계획이다.

12일 이데일리 취재에 따르면 금융감독원은 지난 2024년 2~4월 빗썸을 비롯해 두나무(업비트)·코인원·코빗·스트리미(고팍스) 등 15개 사업자(원화마켓 5곳·코인마켓 10곳)를 대상으로 실시한 점검 결과, 고객이 맡긴 가상자산을 사업자 고유 자산과 제대로 분리해 관리하지 않는 문제를 다수 적발했다.

당시 금감원 발표에 따르면 A 사업자는 고객 가상자산 출금 시 출금 지갑에 네트워크 수수료가 필요하다는 이유로 사업자 고유 가상자산과 고객 가상자산 지갑을 분리하지 않고 동일 지갑에 보관했다. B 사업자는 비트코인, 이더리움 등 주요 가상자산에 한정해서만 지갑을 분리했다. 이에 금감원은 2024년 6월 중순부터 같은 해 7월 가상자산법 시행 전까지 규제 시범 운영을 통해 미흡 사항을 보완할 방침이라고 밝혔다.

하지만 이번에 빗썸 사고에서 드러났듯이, 이후에도 장부상에서 계정이 분리돼 있는 사업자 고유 가상자산과 고객 위탁 가상자산이 온체인 상에서는 분리하지 않아 장부상이긴 해도 보유량보다 많은 코인을 지급하는 ‘유령 코인’ 문제가 개선되지 않았다.

당시 점검 결과에 문제의식을 가진 당국은 두나무(업비트), 빗썸, 코인원, 코빗, 스트리미(고팍스)가 참여 중인 디지털자산거래소 공동협의체(DAXA·닥사) 차원에서 가이드라인을 만들어 각 거래소 사업자들이 이를 자율적으로 준수하도록 했다.

닥사는 지난 2024년 9월12일 “닥사를 중심으로 감독당국 지원 하에 총 23개 가상자산 사업자가 공동으로 참여한 가운데 마련”했다며 가상자산 지갑 운영관리 모범사례 및 해설서를 발표했다. 이 해설서에는 ‘고유·고객 자산 지갑을 별도 생성하고 동일 지갑 내 자산의 혼장 여부를 점검해 고유·고객 가상자산을 분리’하는 내용이 담겼다. 3인 이상 담당자에게 분리·할당해 가상자산 지갑 권한의 오남용 방지, 가상자산의 실질 보유 의무 준수 등도 반영됐다.

시장과 국회 안팎에서는 이 가이드라인의 취지대로 가상자산 거래소들이 장부뿐 아니라 온체인상에서도 고객 자산과 사업자 자산을 분리했더라면 빗썸의 회사 자산 보유량(175개·고객 위탁 물량 4만2619개 제외 기준)을 초과한 60만개 비트코인 지급 자체가 불가능했을 것이라고 지적한다. 빗썸과 달리, 국내 거래소 사업자 중 몇몇은 이 가이드라인 취지를 감안해 온체인상에서도 고객 자산을 분리 보관하고 있다.

강민국 국민의힘 의원은 “빗썸 오지급 사고는 단순한 전산 사고를 넘어 금융당국의 안일한 관리·감독과 규제 부재 등 가상자산시장이 안고 있는 구조적 한계와 문제점을 여실히 보여준 사태”라고 지적했다.

여당도 제도 공백을 인정, 이 참에 가상자산 이용자 보호법 개정을 준비하고 있다. 현재 해당 법 7조는 ‘가상자산사업자는 자기의 가상자산과 이용자의 가상자산을 분리하여 보관하여야 한다’고만 규정돼 있다. 오프체인 상 사업자 장부에서만 고객과 자기 고유 자산을 분리를 의무화할뿐 온체인 상에서도 두 자산을 분리해야 한다는 규정은 없는 셈이다. 이 때문에 장부 상으로는 고객과 자기 자산을 분리하고 있고, 이를 하루 단위로 온체인 체크하고 분기마다 외부 회계법인 실사를 받는 빗썸은 가상자산 이용자 보호법 위반은 아니지만 이번 오지급 같은 사고에는 취약한 상황이다.

국회 정무위 소속 김현정 민주당 의원은 유럽연합(EU)이 지난 2023년 입법한 가상자산법인 미카(MiCA)를 참조해 가상자산 이용자 보호법 개정안을 발의할 예정이다. ‘온체인 상에서도 사업자의 가상자산과 고객의 가상자산을 분리 보관하되 장부와 온체인 보유자산을 실시간으로 체크하는 것을 의무화하는’ 내용을 추가하는 개정안이다.

김 의원은 지난 11일 국회 정무위에서 “해외에선 온체인상 수량과 장부상 수량을 실시간으로 맞추고 있는데 우리는 이런 ‘준비금 증명’(Proof of Reserves·PoR) 제도를 의무화하지 않고 있다”며 “(제도 공백 상황에서) 빗썸은 장부상으로만 (분리)보관하고 온체인상으로 분리보관 하지 않아 이런 사고가 터진 것”이라며 후속 입법 필요성을 강조했다.

금융당국도 감독·제도 개선방안을 모색할 방침이다. 정무위에 출석한 권대영 금융위 부위원장은 “외형이 성장한 가상자산에 대한 감독, 제도가 미흡한 점을 인정한다”며 “도산절연(倒産絶緣·고객 자산을 회사 파산으로부터 분리·차단하는 안전장치)을 해야 한다. (관련) 입법에 속도를 내겠다”고 답변했다. 이찬진 금감원장도 “2단계 입법을 할 때 미카나 다른 나라의 사례를 보면서 대대적으로 보완할 부분이 있으면 점검하겠다”며 “업무 실태를 제대로 점검하고 확실하게 제대로 하겠다”고 말했다.

민주당 디지털자산태스크포스(TF) 자문위원인 김종승 엑스크립톤(xCrypton) 대표(블록체인법학회 부회장)는 이날 이데일리와의 전화 통화에서 “빗썸 사태의 본질은 코인거래소가 보유한 온체인 자산과 장부상 유통 자산이 일치하도록 하는 ‘PoR 시스템’이 붕괴돼 작동하지 않았다는 점”이라며 “일어나선 안 되는 일이 일어난 만큼 정확하고 투명하게 원인을 규명하고 특단의 대책을 마련해야 할 것”이라고 강조했다.