국세청이 압류한 가상자산을 전문적으로 보관·관리할 수 있는 민간 커스터디 운영체계 마련에 착수했다. 2월 니모닉 코드 유출로 인한 수십억원대 가상자산 탈취 사건 이후 대응 체계가 본격화하는 모습이다. 가상자산사업자(VASP)를 대상으로 한 관련 사업에 현재까지 총 4곳의 업체가 의견을 제출했다.

22일 조달청 나라장터에 따르면 16일 국세청은 ‘압류 가상자산 전문 커스터디 운영’ 용역 사업 사전규격서를 공개했다. 사업 예산은 부가가치세 포함 800만원으로 초기 시스템 구축 300만원과 교육지원 및 시범운영비 500만원이 반영됐다. <본지 3월 11일자 8면 참조>

이는 앞서 정부가 10일 공공분야 가상자산 보유·관리체계 개선방안을 공개한 것에 따른 후속 조치다. 국세청은 이번 사업을 압류 가상자산의 이전·보관·관리·매각 전 과정을 포괄하는 운영체계를 설계하고 시범운영을 거쳐 향후 본사업 모델까지 마련한다는 계획이다. 업계에서는 본격적인 위탁보관 사업에 앞서 운영모델을 정립하는 성격의 시범·컨설팅 용역으로 보고 있다.

이번 사업의 핵심은 국세청이 확보한 가상자산을 안전하게 이전·보관·관리·매각할 수 있는 전용 지갑 및 보관 시스템을 설계하는 데 있다. 수행업자는 가능한 많은 종류의 코인과 토큰을 인수·보관·관리할 수 있는 체계를 상시 유지해야 한다.

국세청 요청에 따라 체납자별 지갑주소를 발급해야 하며, 해당 지갑은 체납자별·압류자산별 고유 주소로 분리돼야 한다. 다른 기관이나 일반 고객 자산과 혼합해 운영하는 것은 허용되지 않는다. 보관 방식은 고강도 보안체계를 전제로 한다. 국세청이 확보한 가상자산은 원칙적으로 100% 콜드월렛에 보관해야 하며 필요시에만 통제된 절차에 따라 네트워크에 연결해 이전할 수 있도록 했다. 시스템 접근 시에는 2단계 인증과 하드웨어 보안 모듈(HSM) 등 강화된 계정 보안체계를 갖춰야 하고 거래소 또는 외부 주소로 자산을 옮길 때는 다자간연산(MPC)이나 멀티시그(Multi-sig) 등 별도 보안통제를 적용해야 한다. 아울러 ▷침해 ▷이상거래 ▷무단 접근 ▷주소 오입력 ▷내부자 위협 등 보안상 위험이 확인되면 즉시 국세청에 통보하고 비상 시 지정지갑으로 안전하게 이전할 수 있어야 한다.

국세청은 실시간 관리 기능도 요구했다. 보관 자산의 ▷온체인·오프체인 상태 ▷현재 시장가 수량 ▷자산 종류 등을 확인할 수 있는 모니터링 시스템을 제공해야 하며 월 1회 이상 보관 현황과 보안점검 결과 및 운영 보고서를 제출하도록 했다.

내부감사 수행 능력과 국세청 점검·감사 대응 체계도 필수 조건으로 제시됐다. 자산 손실에 대비한 보험 또는 이에 준하는 위험보전 수단도 제안서에 담겨야 한다.

이전·매각 절차 역시 엄격하다. 수행업자는 국세청이 지정한 거래소 주소로만 자산을 이전할 수 있다. 입출금 또는 이전이 발생하면 즉시 기록을 생성·보관하고 담당자에게 통지해야 하며 관련 증빙도 파일 형태로 제출할 수 있어야 한다. 이전 과정에서 발생하는 거래기록, 블록체인 확인 자료, 수수료 내역 등도 사후 검증이 가능하도록 보관해야 한다.

특히 국세청은 위탁보관 자산의 법적·경제적 독립성도 분명히 했다. 제안요청서에는 용역 수행업자가 보관 중인 가상자산에 대해 실질적 소유권을 가질 수 없고 이를 대출·투자·담보 제공·운용·재예치 등 어떤 방식으로도 활용해서는 안 된다는 내용이 담겼다.

또한 파산, 회생, 영업정지, 보안사고 등 위기 상황에서도 보관 자산이 수행업자의 채권자나 제3자에게 제공되거나 집행 대상이 돼서는 안 된다고 못 박았다. 나아가 사업 종료 이후에는 위탁보관 과정에서의 데이터를 국세청에 인계한 후 폐기해야 한다고 명시했다. 사전규격서에 대한 의견등록 마감일은 지난 21일이었다. 두나무, 한국디지털에셋(KODA), 한국디지털자산수탁(KDAC), 헥토월렛원 등 4개 가상자산사업자가 국세청에 의견서를 제출했다. 경예은 기자