이용자 자산에 대한 상시 점검 시스템을 구축하고
금융회사 수준으로 내부통제체계를 강화하겠습니다.
- 4.6일, 사무처장 주재 「가상자산 업계 간담회」 개최 -
▴이용자 자산을 5분 주기로 상시 대사(對査)하는 자동화된 시스템 구축
▴이벤트 보상 지급 등 수작업이 개입되는 거래에 대해서는 계정 분리, 자동 검증시스템, 다중 승인체계 등 사고 예방・통제 장치 의무화
▴금융회사 수준의 준법감시 프로그램, 표준화된 위험관리체계 기준도 신설
1. 회의 개요
4.6일(월) 14:00, 금융위원회 신진창 사무처장 주재로 5대 가상자산거래소 대표, 디지털자산거래소 공동협의체(DAXA) 등이 참석한 가운데, 「빗썸 오지급 사태」 직후 구성된 '긴급대응반*'의 점검결과 공유 및 향후 제도개선 방안 논의 등을 위한 간담회를 개최하였다.
* 2.8일, 금융위원회, 금융정보분석원(FIU), 금융감독원, DAXA 공동으로 '긴급대응반'을 구성하여 거래소의 이용자 자산 보관현황, 내부통제체계 등 긴급점검 착수
특히, 이 자리에서 DAXA와 5개 거래소는 사고 재발 방지, 시장 신뢰 회복 등을 위한 '업계 공동 결의문'을 발표하여 자율규제 고도화, 내부통제 강화 및 업계의 자정 노력 의지 등을 밝혔다.
<가상자산 업계 간담회 개요>
- (일시・장소) '26.4.6일(월) 14:00, 정부서울청사 16층
- (참석자) 금융위원회 사무처장(주재), 디지털금융정책관, FIU 제도운영기획관,
금융감독원 부원장보, 5대 가상자산거래소 대표, DAXA 부회장 등
2. 모두발언 주요내용
신진창 사무처장은 2.10일부터 진행된 '긴급대응반' 점검결과, 오지급 사태의 표면적 원인으로 지목된 '인적 오류'를 넘어 그간 거래소에 누증된 구조적·관행적 문제점도 일부 드러났다고 밝혔다. 특히, 24시간 거래가 이뤄짐에도 장부와 지갑 상 고객자산을 상시 대사하는 시스템 운영이 미흡했으며, 인적·시스템 오류 대응 등을 위한 위험관리체계도 전반적으로 미비한 점을 지적했다.
이어, 1,100만명 이용자가 약 70조원에 달하는 가상자산을 거래소에 보관 중인 만큼, 금융당국은 이번 점검결과를 매우 엄중하게 받아들이며 거래소의 내부통제, 전산시스템, 나아가 조직문화 전반에 걸쳐 근본적인 개편이 불가피하다는 점을 강조했다.
구체적으로 ▲표준화된 상시 잔고대사 시스템 구축, ▲고위험거래 리스크 관리, ▲내부통제 실효성 확보라는 '3대 축'으로 제도개선을 추진해 나갈 계획이며, 향후 '2단계 가상자산법(소위 '디지털자산법')'에도 이번 제도개선 주요 내용을 충실히 반영할 예정임을 밝혔다.
3. 주요 점검결과 및 제도개선 방향 가. 주요 점검결과
'긴급대응반'은 2.10일부터 3.6일까지 약 한 달간 현장점검, 회계법인 실사, 서면조사 등의 방법으로 거래소의 ▲이용자 자산보관 현황, ▲거래시스템 취약점, ▲내부통제체계 운영실태의 3개 분야를 집중 점검했다.
➀ 이용자 자산 잔고대사 소홀
상당수(3개) 거래소는 잔고대사(장부 보유량과 실제 보유량을 비교・검증하는 절차)를 수행함에 있어 일 단위(24시간) 대사만을 실시하여 오지급 등 사고 발생시 적시 대응에 한계가 있다는 점이 지적됐다.
또한, 잔고대사 과정에서 오지급 등 사고로 인해 큰 괴리가 발생할 경우 시스템상 즉시 거래를 중단시키는 '거래차단조치(Kill Switch)' 등 대응 체계도 미비한 것으로 나타났다. 이용자 자산보관 실태에 대해 분기별로 회계법인 실사를 받고는 있지만, '장부 대비 실제 보유 비율'만 외부 공개하는 등 공시도 형식적으로 이뤄지고 있었다.
<잔고일치 여부 실사 결과 공시 사례> ➁ 거래시스템 관리 부적정
상당수 거래소에서 이벤트 보상 지급 등 담당자의 수작업이 필요한 '고위험거래'의 처리 과정에서 오지급 등 리스크를 통제・관리하는 장치가 부족했음이 지적됐다.
<고위험거래 관리 부적정 사례>
√(계정 미분리) 2개 거래소는 '고유계정'과 '고위험거래 계정'을 별도 분리하지 않아 지급금액 오기 등 인적 오류 발생에 취약
√(자동검증 시스템 미비) 4개 거래소는 고위험거래와 관련된 사전 지급계획과 실제 지급대상·종목을 자동 검증(Validity Check)하는 시스템 미비
√(다중 승인체계 부재) 4개 거래소에서 담당자 1인 또는 부서장 1인 승인만으로 지급이 이뤄지는 등 거래 리스크에 비례한 '다중 승인체계' 구축 소홀
➂ 내부통제시스템 운영 미흡
업계 자율의 '표준 내부통제기준'은 이미 마련되어 있으나, 그 이행을 점검・관리하는 준법감시체계 운영은 미흡한 사례가 드러났다.
<준법감시업무 미흡 사례>
√(준법감시 범위 제한) 2개 거래소는 업무 전반이 아니라 소수의 항목(예: 임직원 가상자산 매매점검 등)에 한해 준법감시 프로그램 운영
√(점검 미흡) 2개 거래소는 준법감시인의 내부통제 현황 주기적 점검(연 1회 이상) 및 이사회 보고를 누락하는 등 준법감시 기본절차 미이행
특히, 대부분 거래소는 우발상황에 대비한 비상계획, 인적 오류 또는 시스템 결함 대응 등 가상자산 관련 '운영 리스크'를 적절히 인식・관리하기 위한 '위험관리체계'가 미비*한 것으로 밝혀졌다.
* (예) 위험관리기준 마련(3개 거래소 미비), 위험관리책임자 임명 및 위험관리위원회 설치(4개 거래소 미비)
나. 제도 개선방안 ➀ 표준화된 상시 잔고대사 시스템 구축
오지급 등 사고 발생시 즉각 대응·조치할 수 있도록 모든 거래소에 5분 주기*의 '상시 잔고대사 시스템 구축'을 의무화할 예정이다. 특히, 잔고대사 결과 대규모 불일치가 발생하는 경우 자동으로 거래를 차단하는 '거래차단조치 기준' 등도 구체화한다. 외부 회계법인을 통한 실사주기도 (매분기→)매월로 단축하는 한편, 실사 결과 공시 범위도 '가상자산 종목별 지갑 및 장부상 보유 수량'까지 확대한다.
* 잔고대사 수행시 절차별(데이터 집계・변환・표출 등) 평균 소요시간, 전산시스템 부하 정도, 업계의 실제 수행사례(최소 5분) 등을 종합적으로 감안・설정
➁ 고위험거래 관련 리스크 관리
고위험거래 항목별 계정 분리, 유효성 확인(Validity Check) 시스템* 구축 등 업무처리 단계별로 사고 예방·통제를 위한 기준도 마련한다. 특히, 담당자의 지급 입력 단계에서 '제3자 교차 검증'을 의무화하고, 지급 금액별 승인권 차등화 및 다중 승인체계 구축 등을 유도해 나갈 계획이다.
* 담당자의 입력 단위·총량 등이 사전 계획과 불일치시 해당 거래가 자동 거부됨
➂ 내부통제체계의 실효성 확보
거래소 내부통제체계를 금융회사 수준으로 강화하기 위해 '표준 준법감시 프로그램' 제정을 통해 내부통제기준 위반점검 등을 내실화하고, 점검 주기 단축(연 1회→매반기) 및 점검결과에 대한 금융당국 보고의무 등도 도입한다.
아울러, 오지급·전산사고 등 리스크에 대응한 조치가 체계적으로 이뤄질 수 있도록 업계 공동의 '표준 위험관리기준'을 마련하고, 위험관리책임자 임명 및 위험관리위원회 구성 등 위험관리 조직・체계도 구축할 계획이다.
4. 향후 계획
금융당국·DAXA는 우선 4월 중 제도개선 이행을 위해 필요한 자율규제 제·개정을 마무리하는 한편, 5월까지 상시 잔고대사 등을 위한 전산시스템 구축도 차질없이 완료할 계획이다. 아울러, 이행력 제고 등을 위해 제도개선 주요 내용은 '2단계 가상자산법'에도 충실히 반영해 나갈 예정이다.
한편, 금융감독원은 빗썸에 대한 검사(2.10일~3.6일)를 통해 조직・업무・전산시스템 등 내부통제의 전반적 문제점을 확인한 바 있으며, 「가상자산이용자보호법」 위반 여부에 대한 법률 검토 등을 마무리하는 대로 즉시 제재절차에 착수할 계획이다.
<별첨> 가상자산거래소 점검결과 및 향후 제도개선 방향(간담회 안건)