'빗썸 사고' 후속대책까지 두 달간 숨 가쁘게 진행된 고강도 점검

금감원, 빗썸 검사서 내부통제 전반 문제 확인…제재 절차 착수

(서울=연합인포맥스) 박경은 기자 = 지난 2월, 빗썸이 약 60조원 규모의 비트코인을 고객에게 오지급하는 사고가 발생했다.

사태 발생 직후 금융당국과 업계는 긴급대응반을 꾸려 거래소 시스템 전반을 대상으로 한 전수 점검에 착수했으며, 시스템 취약성과 내부통제 운영 미비를 포착했다. 금감원은 빗썸에 대한 검사를 마무리했고, 제재 절차에 착수한다.

금융위원회는 6일 신진창 사무처장 주재로 가상자산 업계 간담회를 개최했다.

◇사고 이튿날 긴급대응반 구성…한 달간의 거래소 고강도 점검 진행

사고 발생 두 달 만에 거래소 점검이 모두 완료됐고, 대응책도 나왔다. 간담회에서는 이러한 점검 내용을 업계와 공유하고, 향후 제도개선 방향을 설명했다.

먼저 지난 2월 6일 빗썸이 고객 이벤트 보상금을 지급하던 과정에서 직원의 실수로 지급 단위가 '원화'가 아닌 '비트코인'으로 입력되는 사고가 발생했다.

당시 지급된 비트코인의 가치가 60조원에 달했다는 점에서, 정치권에서는 이 사고를 '유령 주식' 사태에 빗대며 시스템 근간의 취약성이 드러났다는 비판이 이어졌다.

사고 이튿날 금융위는 긴급 점검회의를 개최해 긴급대응반을 꾸렸고, 금감원은 빗썸에 대한 현장점검에 착수했다.

이를 시작으로 한 달간 당국의 점검이 속도감 있게 진행됐다.

사고 발생 나흘 후, 금감원은 빗썸에 대한 현장점검을 정식 검사로 전환했다. FIU도 자금세탁의무 위반과 관련한 검사에 착수했다.

지난 2월 11일부터 긴급대응반은 빗썸을 제외한 4곳의 거래소에도 현장 점검에 들어갔다. 총 14명의 점검 인원이 투입됐고, 3일에 걸쳐 모든 거래소에 대한 현장 점검이 이뤄졌다.

이후엔 5곳의 거래소에 대한 내부통제 시스템 서면 조사가 이뤄졌다. 닥사의 '표준 내부통제기준'을 토대로 체크리스트를 배포했으며, 각 사는 이를 입증하기 위한 증빙자료도 제출했다.

동시에 회계법인을 통한 실사도 병행했다. 재무결산을 맡은 회계법인이 아닌 별도 회계법인을 선정해, 독립적으로 실사를 진행했다.

회계법인 실사와 빗썸 검사는 지난달 6일 종료됐다. 이후 긴급대응반은 2차례의 회의를 통해 점검 결과를 바탕으로 제도 개선 사항을 논의했다.

◇자산 잔고 비교 시점 제각각…오류 가능성 높은 '수작업' 거래도 검증 체계 부적절

당국의 점검 결과, 3가지 측면에서 미흡 지점이 확인됐다.

우선 고객자산 관리 측면에서는 거래소별 잔고 대사 주기와 운영 기준이 제각각인 것으로 나타났다. 3곳의 거래소는 하루 단위로만 대사를 수행해, 오지급 등으로 불일치가 발생할 경우 즉각적인 대응이 어려운 구조였다. 대사 불일치 판단 기준이나 경보·조치 매뉴얼 역시 통일돼 있지 않아, 사고 발생 시 체계적인 대응에 한계가 있다.

외부 감사 체계도 미흡했다. 모든 거래소가 분기별 회계법인 실사를 받고 있었지만, 실사 범위에는 차이가 있었고 지갑 통제권이나 전자서명 유효성 등 핵심 항목이 제외된 사례도 확인됐다. 특히 가상자산 보유량은 공개하지 않고 '장부 대비 보유 비율'만 형식적으로 공시하고 있었다.

또한 임직원의 수작업이 개입하는 고위험 거래 처리에서도 리스크 식별이 소홀했다. 빗썸의 사고 발생 경위와 유사한 문제점이 발견됐다.

일부 거래소는 고유 계정과 고위험 거래 계정을 분리하지 않아 오류 발생 가능성이 컸고, 지급 대상과 종목을 사전에 검증하는 시스템도 미비했다.

특히 실무자 단독 변경이나 부서장 1인 승인만으로 거래가 집행되는 등, 리스크 수준에 상응하는 다중 승인 체계가 마련되지 않은 점도 문제로 지적됐다.

일부 거래소에서는 전산 장부 접근 권한 통제나 의심 거래 모니터링 체계 역시 충분히 작동하지 않는 것으로 나타났다.

아울러 내부통제 시스템 역시 전반적으로 취약한 것으로 평가됐다. 업계 자율로 마련된 표준 내부통제 기준이 존재하지만, 이를 점검·관리하는 준법감시 체계는 제대로 작동하지 않는 사례가 확인됐다. 일부 거래소는 법령상 요구되는 항목만 제한적으로 점검했으며, 내부통제 현황에 대한 정기 점검이나 이사회 보고 등 기본 절차가 누락된 사례도 드러났다.

위험관리 체계도 미비했다. 사고 등 비상 상황에 대비한 대응 계획이나 위험관리 기준 자체가 마련돼 있지 않았고, 위험관리 책임자나 위원회가 설치되지 않은 곳도 다수 확인됐다.

다만 자산의 실질 보유 여부와 관련해서는, 2단계 검증 결과 모든 거래소가 장부상 고객 위탁 자산 이상의 가상자산을 보유하고 있는 것으로 확인됐다.

한편, 금감원은 빗썸에 대한 검사를 통해 조직·업무·전산시스템 등 내부통제의 전반적 문제점을 확인했으며, 이용자보호법 위반 여부에 대한 법률 검토를 마무리하는 대로 즉시 제재 절차에 착수한다.

gepark@yna.co.kr