━
이용자보호법 준비 상태 양호…내부통제 일부 미흡━
이용자 가상자산의 보관·관리 의무 측면에서는 먼저 고유·고객 가상자산을 동일 지갑에서 혼장 보관한 사례가 있었다. 고유·고객 가상자산은 각각 관리·통제절차가 달리 적용돼야 하고 책임소재도 구분돼야 한다. 동일 지갑에 혼장 보관·관리하는 경우 권한이 없는 자(고유 가상자산 관리자)에 의해 고객 가상자산이 임의 탈취될 가능성이 있다. 이에 금감원은 관리·통제·책임이 구분되도록 원칙적으로 고유·고객 가상자산 간 지갑을 분리해 보관하되, 고유 및 고객 가상자산에 대한 통제절차를 각각 구분해 적용·관리하고, 주기적으로 점검 및 분리를 실시하도록 권고했다.
또 일부 사업자는 콜드월렛에서 핫월렛으로 가상자산을 이전할 때 온라인 환경에서 전자서명을 수행한 경우가 있었다. 가상자산을 인터넷과 분리해 안전하게 보관하도록 정한 법률에 부합하지 않는다. 전자서명을 온라인 환경에서 수행할 경우 해킹 등에 의한 개인키 유출 위험이 있다는 설명이다. 금감원은 전자서명 절차가 인터넷과 분리된 오프라인 환경에서 이뤄질 수 있도록 개선할 것을 자문했다.
한편 다수 사업자가 여전히 감독규정에서 정한 비율(80%)보다 낮은 약 70% 수준으로 콜드월렛에 가상자산을 보관중이었다. 금감원은 법률 시행시 콜드월렛 보관비율(80% 이상) 준수의무의 철저한 이행을 당부했다. 또 콜드월렛 관리, 보관비율 산정 등의 업무분장을 명확히 하고 합리적인 가격 적용방법 등을 내규에 반영해 일관되게 적용하도록 권고했다.
가상자산의 내부 이전 과정에서 필요한 지갑주소, 수량 등을 수기 입력 또는 과거 거래내역을 복사하여 입력하는 경우도 있었다. 이 경우 지갑주소 오기입이 발생하거나, 지갑주소 오염 공격 등의 대상이 될 가능성이 있다. 사이버 공격, 오류 등의 예방을 위해 가상자산을 이전받을 지갑주소 화이트리스트를 운영하거나, 지갑 관리 담당자 외 제3의 감독자가 거래내역 상 지갑주소 등이 적절히 입력됐는지 재확인하는 보완통제 절차를 마련하라고 금감원은 권고했다.
이 외에도 개인키 보관, 전자서명 단말기 관리, 월렛룸 운영 등 사고 발생 방지를 위한 내부통제체계에서 미흡함이 발견됐다.
━
법 시행 한 달 앞…실무 해설서 마련━
금감원은 법 시행 시점까지 사업자의 준비현황을 서면으로 지속 확인해 사업자의 미흡사항 보완을 유도한다. 또 사업자 실무에 적용 가능하도록 업계와 함께 가상자산 지갑 관리 등의 사례 위주로 실무해설서를 마련해 배포할 예정이다. 당국은 6월 중순부터 규제 시범적용을 통해 준비 상황을 최종 점검하고 미비점을 보완할 예정이다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]