해킹 사건 ‘모르쇠’ 끝낸다, 가상자산 거래소 회계 투명성 제고

금융당국 ‘재무제표 표시 개정 공개초안’ 발표 “위탁 가상자산도 사업자 자산으로 인식” 투자자 피해 최소화 기대 반복되는 가상자산 탈취 사고, 근본적 대책 마련 시급

160X600_GIAI_AIDSNote

금융당국이 암호화폐(가상자산)를 발행하거나 보유하고 있는 기업이 상세하고 명확한 정보를 공개하도록 가상자산 거래 관련 회계 투명성 제고에 나섰다.

금융위원회(이하 금융위)와 금융감독원(이하 금감원)은 11일 ‘재무제표 표시 개정 공개초안’을 발표했다. 이는 기존의 기업회계기준서 제1001호 ‘재무제표 표시’에 가상자산 관련 필수 공시사항을 추가한 것으로, 지난 7일 회계기준위원회의 심의·의결을 거쳐 마련됐다. 한편 이에 따라 해킹 등 가상자산이 유출되는 사고가 발생할 경우 책임 주체를 거래소로 규정하는 효과를 불러올 것으로 전망되고 있어 사업자들의 고심이 깊어지고 있다.

투자자 보호에 집중, 정보 공개 강화

이번 초안과 그에 따른 감독지침은 「가상자산이용자보호법」 제정에 발맞춰 가상자산 거래와 관련된 기업의 회계 투명성을 높이자는 취지에서 추진됐다. 금융당국은 고객의 위탁 가상자산을 사업자의 자산으로 재무제표에 인식하는 구체적 기준을 제시하며 투자자 보호에 집중했다. 위탁 가상자산이 고객 자산으로 처리될 경우 해킹 등 사고 발생 시 사업자의 책임이 손해배상 정도에 그치게 되는 만큼 그 피해가 고스란히 일반 투자자들에게 돌아간다는 이유에서다. 현재 국내 거래소들은 고객 위탁 가상자산을 회계처리하지 않고 주석으로 별도 표시하고 있다.

새 감독 지침에서는 위탁 가상자산을 고객 자산으로 별도 처리하려면 해당 위탁자산에 대한 명확한 식별이 가능한 경우에만 인정하도록 명시했다. 위탁된 가상자산의 명확한 식별이 어려울 때는 사업자의 자산, 즉 부채로 인식해야 한다. 금융당국 관계자는 “고객 위탁 가상자산이 부채로 인식될 경우 해킹 사고로 가상자산이 탈취되면 고객 자산이 사업자의 재무제표에 들어가 있는 것이므로 무조건 고객 위탁 자산을 물어줘야 한다”며 “하지만 고객 자산으로 처리된다면 해킹 사고 발생 시에 사업자는 손해배상 책임만 있게 된다”고 전했다.

이어 “지금까지 가상자산 거래소 사업자들은 고객의 지시에 의해서만 거래 활동이 이뤄진다고 주장했지만, 실제 시스템상에서는 사업자의 의지대로 가상자산의 이체나 교환 등이 모두 가능하다”며 위탁 가상자산이 실제로는 사업자의 경제적 통제권에 놓여있다는 점도 지적했다. 위탁자산에 대한 명확한 식별 기준으로 활용되는 이 경제적 통제권을 판단할 때는 국제적 동향 등을 감안해 고객에 대한 법적 재산권 보호 수준 등을 고려하도록 했다. 현재 미국과 일본은 고객이 위탁한 가상자산을 부채로 인식하도록 규정하고 있으며, 유럽은 경제적 통제권 판단지표를 제시한 후 사업자의 판단에 맡기고 있다.

가상자산에 대한 공시 규정도 강화한다. 명확한 공시 체계가 수립된 증권시장과 달리 가상자산 시장은 극히 제한된 정보만 공개되고 있다는 판단 때문이다. 앞으로 가상자산을 개발하거나 발행하는 회사는 해당 가상자산의 수량과 특성, 이를 활용한 사업모형 등 일반정보를 비롯해 가상자산의 매각 대가에 대한 수익 인식 등 회계정책과 수익 인식을 위한 의무이행 경과에 대한 회사의 판단까지 상세히 제공해야 한다. 더불어 발행 이후 자체 유보한 가상자산에 대한 보유 정보와 기중 사용내역도 공개 대상 정보에 포함됐다. 고객위탁 가상자산의 경우 거래소가 가상자산별 물량과 시장가치 등의 정보를 비롯해 가상자산 보유에 따른 해킹 우려 수준, 이에 대응하기 위한 방지책 등에 대한 정보를 제공하도록 했다. 금융당국은 이를 통해 지금까지 발행사의 홈페이지나 백서, 사회연결망서비스(SNS) 등에 의존하던 가상자산 투자자들의 피해를 최소화할 수 있을 것으로 기대했다.

금융위 관계자는 “이번 개정 초안에 대한 시장의 이해를 돕기 위해 앞으로 약 두 달에 걸쳐 상장사와 가상자산 사업자, 회계법인 등 이해관계자별로 각각 1차례 이상의 설명회를 개최할 예정”이라며 “이를 통해 현장의 다양한 의견을 듣고, 의견수렴 결과를 토대로 감독지침과 기준개정안을 확정해 10~11월 공표·시행할 계획”이라고 말했다.

끊이지 않는 거래소 해킹 사건, 피해는 고스란히 투자자에게

가상자산 해킹은 전 세계에서 반복적으로 이뤄지고 있으며 이로 인한 피해금액도 막대하다. 실례로 2014년 글로벌 가상자산 거래소 마운트곡스(Mt. Gox)는 대형 해킹 사건으로 파산을 맞았으며, 2018년에는 일본의 코인체크(Coincheck) 거래소에서 580억 엔(약 5,360억원) 규모의 해킹 사건이 발생하기도 했다. 특히 코인체크의 해킹 피해는 거래소가 가상화폐를 외부 네트워크와 접속한 채로 보관한 데서 비롯됐다는 사실이 알려지며 해킹 사건에 대한 거래소의 책임을 법제화해야 한다는 국제적인 여론을 이끌어 냈다.

올해로 10주년을 맞은 한국 가상자산 시장에서도 해킹 사건이 여러 차례 발생했다. 2017년 4월 야피존(Yapizon)이라는 이름의 거래소에서는 3,831개의 비트코인을 도난당하는 사고가 발생했다. 이후 야피존은 유빗(Youbit)으로 이름을 바꾸고 영업을 이어갔지만, 2018년 12월 전체 자산의 약 17%에 해당하는 금액을 또다시 탈취당하며 결국 파산을 선언했다.

국내 2위 가상자산 거래소 빗썸(Bithumb)에서도 2018년 350억원 규모의 도난 사건이 발생했다. 빗썸은 도난당한 피해액을 회사 소유분으로 충당하는 방식으로 투자자들의 피해를 메꾸기 위해 노력했다. 하지만 이와 별개로 해당 사건은 초대형 거래소 역시 해킹에서 자유로울 수 없다는 사실을 널리 알리는 계기가 됐다. 현재는 업비트에 밀려나 2위로 내려앉았지만, 빗썸은 2018년 해킹 사건 직전까지 줄곧 일 거래량 기준 국내 가상자산 거래소 중 1위를 지켰다.

가장 최근 일어난 가상자산 해킹은 지난 4월 지닥(GDAC)에서 발생했다. 이 사건으로 총 1,022만여 개 가상자산이 탈취당했고, 피해 금액은 최소 182억원으로 추산됐다. 반복되는 해킹 사고에 거래소들은 부랴부랴 블록체인 보안업체와의 협업을 알리며 대응에 나섰지만, 투자자들은 “소 잃고 외양간 고치기가 따로 없다”며 강하게 비판했다.

10년 사이 급성장한 가상자산 시장, 투자 환경은 ‘열악’

한국금융소비자재단의 6월 조사에 따르면 한국 성인 가운데 절반 이상인 53%가 가상자산 투자 경험을 가진 것으로 확인됐다. 10년이라는 비교적 짧은 기간에 가상자산 투자가 이토록 활성화된 데는 블록체인 기술을 기반으로 한 보안과 안전성을 강조한 거래소들의 열띤 홍보가 효과를 거둔 것으로 해석할 수 있다.

거래소들의 주장대로 가상화폐 자체는 해킹이 쉽지 않다. 그런데도 탈취 사고가 발생하는 이유는 가상자산 대부분이 ‘핫 월렛(hot wallet)’이라 불리는 온라인 전자 지갑에 보관되기 때문이다. 오프라인 전자 지갑인 ‘콜드 월렛(cold wallet)’도 존재하지만, 가상자산 시장은 24시간 운영되는 데다 가파른 가격 변동을 보이는 만큼 빠른 거래를 위해 핫 월렛 사용이 필수로 여겨진다. “가상자산은 해킹에서 안전하다”는 거래소의 말을 믿고 투자한 사람들 모두가 전자 지갑을 이용하는 과정에서 해커들의 레이더에 그대로 노출되는 셈이다.

일단 자상자산 탈취 사고가 발생하면 개인 투자자들에게는 가상화폐 자체든 전자 지갑이든 해킹의 대상은 중요하지 않다. 그보다는 피해 금액과 복구 대책이 중요하다. 하지만 지금까지 발생한 가상자산 탈취 사건들에서 개인 투자자들은 정확한 사건 발생 원인을 알 수 없는 것은 물론 거래소의 과실 책임을 입증할 수 없어 그 피해를 고스란히 떠안아야만 했다. 금융당국의 책임 소재 규명에 앞서 ‘보안’과 ‘안전성’을 무기로 투자자 유치에 열을 올렸던 거래소들의 보다 적극적이고 근본적인 대책 마련이 절실하다.