[국내 가상자산 거래소 빗썸에서 이벤트를 통해 당첨자들에게 현금 2000원~5만원을 지급하려 했으나 시스템 오류로 단위가 ‘원’이 아닌 ‘BTC’가 입력돼 1인당 2000억원이 넘는 총액 약 64조 원의 수량이 오지급 되는 사고가 발생했다. 빗썸 측은 전체 오지급 물량의 99.7%에 달하는 61만 8212개 BTC를 회수했다고 밝혔다. 사진은 서울 강남구 빗썸라운지 삼성점 모습. [뉴시스]

[헤럴드경제=유혜림·유동현 기자] “주식시장은 거래소·증권사·예탁결제원 등으로 기능이 분산돼 있지만 가상자산시장에선 거래소 한 곳이 계정 관리부터 주문 체결·결제까지 사실상 전 과정을 맡는 구조예요. 오류 하나가 거래소 하나를 흔드는 리스크로 빠르게 확산될 수 있습니다.”

국내 5대 거래소 출신 한 고위 관계자는 가상자산 시장의 구조적 취약성에 대해 이같이 지적했다. 빗썸에서 60조원 상당의 오지급 사고가 발생했음에도 거래소를 직접 제재할 명확한 법적 근거가 부족하다는 점은 가상자산 시장의 제도 기반이 여전히 초기 단계에 머물러 있음을 보여준다는 지적이 나온다. 현행 가상자산 관련 법은 불공정거래 규제와 이용자 자산 보호 등 ‘1단계 기본 규제’에 초점이 맞춰져 있어 거래소의 시스템 운영이나 업권 전반을 직접 규율할 장치는 자율규제나 가이드라인에 의존하는 상황이다.

이 때문에 은행·보험·증권 등 금융회사에서 유사한 사고가 발생했다면 내부통제 책임과 경영진 책임을 강하게 물을 수 있지만 거래소는 피해갈 수 있었던 것이다. 또 비상장에 폐쇄적인 주주 구조를 가진 가상자산 거래소의 특성상 주주들이 책임을 묻는 후속 조치도 상대적으로 약할 수밖에 없다는 지적이 제기된다. 시장에선 향후 ‘2단계 입법’에선 금융회사 수준의 내부통제 의무 도입과 함께 가상자산거래소의 대주주 소유 지분을 15~20%로 제한하자는 논의가 탄력을 받게 됐다는 분석이 나온다.

▶내부통제 사고에도 제재 어려운 거래소=10일 금융당국에 따르면, 금융감독원은 최근 디지털자산기본법 도입 준비반을 신설해서 가상자산 2단계 법안의 효과적인 이행을 지원하기로 했다. 이찬진 금감원장은 전날 기자간담회에서 “가상 자산 정보 시스템의 구조적인 문제를 적나라하게 보여준 케이스”라며 “2단계 입법 과정에서 심각하게 고민하고 보완할 것”이라고 말했다. 실무자 1명의 클릭으로 코인 지급이 가능했던 시스템상 허점을 파악하고, 장부상 물량과 실제 보유 물량(잔액)을 대조하는 모니터링 시스템도 제대로 돌아가는지 들여다볼 것으로 예상된다.

전문가들은 2단계 입법 과정에서 거래소의 내부통제 책임을 명문화하는 추가 조항이 필요하다고 입을 모은다. 기존 금융회사는 ‘금융회사의 지배구조에 관한 법률’에 따라 내부통제 제도를 갖추도록 규정돼 있지만, 가상자산 거래소는 적용 대상에 포함되지 않기 때문이다. 은행법과 자본시장법, 보험업법, 상호저축은행법, 여신전문금융업법 등 각 업권법을 통해 은행·증권사·저축은행·카드사 등이 금융회사로 편입된 것과 달리 국내 가상자산 투자자가 1000만명에 육박하는 상황에서도 거래소를 포괄하는 업권법조차 마련되지 않은 것이 현실이다.

현행 금융사지배구조법은 이사회가 내부통제와 위험관리 정책을 수립·감독하도록 규정하고, 대표이사의 내부통제 총괄 관리 의무 이행에 대한 감독 책임도 명시하고 있다. 또 이사회 내 내부통제위원회 설치와 내부통제 기준 마련을 의무화하는 등 다층적 장치를 두고 있다. 은행에서 횡령이나 불완전판매 같은 사고가 발생할 경우 당국이 책무구조도를 근거로 은행장이나 증권사 최고경영자(CEO) 등 경영진에게 책임을 물을 수 있지만, 가상자산거래소는 책임 범위가 모호해 제재 조차 쉽지 않은 상황이다.

이번 빗썸 사태 관련 책임자에게 법적 책임을 묻기 쉽지 않다는 평가도 많다. 이찬진 원장도 전날 현행법으로 빗썸에 책임을 물을 수 있느냐는 질문에는 “현재 못한다는 건 제 생각이 좀 다르다”면서도 “가상자산 이용자보호법상 저촉 여부를 검토 중”이라고 했다. 전문가들은 당국이 구체적인 언급을 자제한 배경에는 현행법으로 직접 적용할 수 있는 규정이 제한적이라는 판단이 깔려 있는 것으로 보고 있다.

▶유령주식엔 ‘영업정지’ 내렸는데…‘규제 격차’=다른 금융업권과 비교해도 사업자 제재 규정 역시 느슨한 편이다. 가상자산사업자의 경우, 특금법상 말소 사유나 영업 정지 사유를 보면 자금세탁방지(AML)·자격요건 중심이라 시스템 사고·내부통제·투자자 피해와는 직접 연결되지 않는다.

반면, 은행의 경우 은행법에 명확한 제재 근거가 마련돼 있다. 금융위원회는 거짓이나 부정한 방법으로 인가를 받거나 인가 조건을 위반하는 등 법령을 어긴 경우 최대 6개월의 영업정지나 인가 취소까지 명할 수 있다. 또 법령 위반으로 예금자·투자자 이익을 크게 해칠 우려가 있거나 금융사지배구조법·금융소비자보호법 위반이 확인될 경우에도 강도 높은 제재가 가능하다.

아울러 증권업계가 적용받는 자본시장법 제79조를 살펴보면 ‘선량한 관리자의 주의 의무(선관주의 의무)’와 ‘충실의무’가 담겨 있다. 해당 조항에 따르면 집합투자업자는 투자자에 대해 선량한 관리자의 주의로 집합투자재산을 운용해야 하며, 투자자 이익 보호를 위해 관련 업무를 충실히 수행해야 한다. 이번 빗썸 사태와 가장 유사한 사례로 꼽히는 2018년 4월 삼성증권 ‘유령주식’ 사태 역시 내부통제 기준 마련 의무와 전자금융거래의 안전한 처리에 대한 선관주의 의무 위반이 문제가 됐다.

이에 금융당국은 삼성증권에 1억4400만원의 과태료를 물리고 6개월간 영업 일부 정지 처분을 내린 바 있다. 당시 삼성증권은 우리사주에 주당 1000원의 현금 배당을 지급하는 과정에서 입력 오류로 주당 1000주가 지급되면서 대규모 사고가 발생했다. 반면 지난 2020년 9월 한 이용자는 빗썸이 선관주의 의무를 소홀히 한 탓에 수억 원에 달하는 현금 포인트를 해커에게 뺏겼다며 손해배상을 청구했지만 재판부는 빗썸의 손을 들어줬다.

▶공공 인프라 된 거래소…책임 강화 논의 본격화=전문가들은 현행 가상자산이용자보호법은 시세조종 등 불공정거래 행위에 대한 처벌과 가중처벌 규정에 주로 초점이 맞춰져 있어 거래소 자체에 대한 직접적인 영업 제재나 인가 취소 등 업권 규율 장치는 상대적으로 미흡하다고 진단했다. 또 국내 가상자산 거래소의 경우에도 빗썸 사태를 계기로 코인 매매 때 장부상 잔고만 변경하는 거래 방식(장부 거래)의 위험성이 지적되고 있다.

황석진 동국대학교 국제정보보호대학원 교수는 “가상자산을 규율하는 법은 특정금융정보법과 가상자산이용자보호법 두 개 뿐인데 내투 통제, 전산 오류나 내부 시스템 오류로 인해 발생하는 형사적인 책임을 물을 수 없다”며 “업권법을 마련하는 과정 상에 제도의 공백이 생긴 것이나 마찬가지”라고 평가했다. 가상자산 사건을 다수 수임한 한 변호사는 “내부 통제의 미비가 드러난 사건인데 가상자산 사업자를 직접적으로 규율하는 법령(2단계법)이 부재하기 때문에 제재할 근거가 마땅치 않은 상황”이라고 설명했다.

이에 따라 2단계 입법안에는 가상자산사업자에게 무과실 손해배상 책임을 부과하는 방향의 규제 논의도 속도가 붙을 것으로 보인다. 앞서 업비트에서 수백억원대 해킹 사고가 발생했음에도 현행법상 제재나 배상을 강제할 명확한 근거가 부족하다는 지적이 제기되면서 금융회사와 전자금융업자 수준의 책임을 부과해야 한다는 논의가 이어져 왔다.

한편 이번 사태가 가상자산 거래소의 대주주 지분 제한 논의에도 명분을 제공했다는 평가가 나온다. 금융당국은 거래소가 공공 인프라 성격이 강하다는 점을 이유로 대주주의 지분 보유 한도를 15~20% 수준으로 제한하는 방안을 추진 중이다. 현재 한국거래소는 5%, 대체거래소 넥스트레이드는 15%의 지분 보유 한도가 적용된다. 반면 국내 5대 가상자산 거래소의 대주주 지분율은 최소 25%(업비트·송치형 두나무 회장)에서 최대 73%(빗썸·빗썸홀딩스)에 이른다. 기업 소송 전문 변호사는 “거래소가 비상장사인 데다 대주주 지분율이 높은 지배구조를 갖고 있어 견제 장치가 약화될 수 있다”고 지적했다.