금융당국이 가상자산거래소에 대해 대대적인 제도개선 방안을 발표한 건 빗썸 사태가 단순히 사람의 실수가 아닌 시스템 문제에서 비롯됐다고 판단했기 때문이다. 빗썸뿐 아니라 거래소 전반에 이런 문제가 있다고 보고 업계 전반에 시스템 개선과 함께 영업정지 등 강력제재도 예고했다. 제재절차를 앞둔 빗썸도 긴장할 수밖에 없는 상황이다.
6일 금융당국에 따르면 금융위원회·금융감독원·닥사(DAXA·디지털자산거래소 공동협의체)가 5대 거래소(업비트·빗썸·코인원·코빗·고팍스)에 대해 점검한 결과 3개 거래소가 장부 보유량과 실제 보유량을 비교·검증하는 '잔고대사'를 하루 단위로 진행하고 있었고 오지급 등 발생시 거래차단조치 시스템도 없었던 것으로 조사됐다.
모든 거래소는 장부에 적은 가상자산보다 실제 보유량이 더 많았다. 5종류 가상자산을 임의로 선택해 전산 장부와 지갑(블록체인 데이터)에서 보유 중인 수량을 비교하고 회계법인 실사를 통해 상위 20개 가상자산 보관·관리실태, 실제 보유 여부 등을 확인한 결과다.
이벤트 보상 지급 등 수작업이 필요한 고위험거래에서도 취약점이 드러났다. 일부 거래소는 이벤트를 위한 고위험거래 계정을 별도로 분리하지 않아 오류 발생에 취약했다. 예를 들어 이벤트 보상금으로 총 100만원 지급시 전산장부에 별도 계정을 만들어 100만원을 선입금 해둬야 초과 지급이 불가능하지만 이런 작업이 이뤄지지 않았다는 설명이다.
보상금 사전 지급계획과 실제 지급대상·종목을 자동 검증하는 시스템도 없었다. 실무자나 부서장 1인 승인만으로 집행이 이뤄지는 등 다중 승인체계도 마련되지 않았다. 일부는 여러 부서에 전산장부 변경 권한을 허용하는 등 권한통제나 의심거래 확인·관리 체계도 미흡했다.
거래소는 업계 자율로 '표준 내부통제기준'을 마련했으나 이행여부를 점검·관리하는 준법감시체계 운영은 부족했다. 거래소별로 준법감시 대상 업무 범위가 제각각이었고 특정 항목에 편중된 사례도 있었다. 2개 거래소는 임직원의 가상자산 매매 점검 등 법에 명시된 항목만 살펴보고 표준 내부통제기준상 업무는 점검하지 않았다.
일부는 내부통제 현황 주가적 점검(연 1회 이상)과 점검결과 보고 등 기본절차도 누락했다. 4개 거래소는 위험관리기준을 점검·관리하는 위험관리책임자와 위험관리위원회도 설치하지 않았다.
이에 금융위는 잔고대사 시스템 구축·점검결과 공시 의무화와 내부통제기준 실효성을 위한 준법감시인 선임·위험관리책임자 선임 의무화 등을 2단계 가상자산법에 반영한다는 방침이다. 위반시에는 기관(영업정지)·임직원(해임요구 등) 제재와 과태료 부과 등 처벌 근거를 마련할 계획이다. 금융당국과 닥사가 자율규제 이행 여부 등도 매분기 점검한다.
현장검사를 마치고 제재 절차를 앞둔 빗썸은 영업정지를 포함한 중징계가 불가피할 것으로 보인다. 금감원은 법률 검토를 마무리하는 대로 제재절차를 밟을 예정이다. 현행 가상자산이용자보호법을 통해서도 영업정지, 과태료 등 중징계가 가능하다.
앞서 빗썸은 지난 2월6일 이벤트 참여자 695명에게 보상금을 지급하는 과정에서 1인당 2000원이 아닌 비트코인 2000개를 지급하는 등 모두 62조원 규모의 가상자산을 잘못 지급하는 사고를 냈다.