거래소 위험관리 모범규준 발표 ‘빗썸 오지급 사태 재발 방지’

디지털자산거래소 공동협의체(DAXA)가 ‘가상자산사업자(VASP)의 위험관리 모범규준(이하 모범규준)’을 발표했다. 모범규준은 빗썸 오지급 사고 직후 구성한 긴급대응반의 점검 결과와 제도 개선 방향에 따른 후속 조치다. 모범규준에 따르면 향후 거래소들은 위험관리위원회를 설치하고 위험관리책임자를 지정해야 한다. 오지급 사고 발생 방지를 위한 내부통제도 강화해야 한다.

출처=셔터스톡

오지급 사태 방지 위해 내부통제 강화, 위험관리 모범규준

이번에 발표한 모범규준이 제정된 배경은 지난 2월 6일 빗썸에서 발생한 대규모 오지급 사고다. 당시 빗썸은 이벤트 참여자 695명에게 보상금을 지급하는 과정에서 1인당 2000원이 아닌 2000비트코인(BTC)을 지급했다. 사고 직후 금융당국은 금융위원회, 금융정보분석원(FIU), 금융감독원, DAXA가 참여하는 긴급대응반을 구성했다. 긴급대응반은 2월 10일부터 3월 6일까지 국내 5대 원화 거래소를 대상으로 내부통제 체계를 점검했다.

긴급대응반은 점검 결과 이용자 자산 잔고 대사 소홀, 부적정한 거래 시스템 관리, 미흡한 내부통제 시스템 운영 등의 허점을 발견했다. 금융당국은 이를 토대로 표준화된 상시 잔고 대사 시스템 구축, 고위험 거래 리스크 관리, 내부통제 실효성 확보 등 제도 개선을 추진하고, 위험관리에 대한 자율규제를 마련하겠다고 밝혔다. 이번에 DAXA가 발표한 모범규준이 그 결과물이다.

위험관리체계 구축부터 사고 발생 보고까지 규정

모범규준은 VASP가 이용자 위탁 자산을 보관하고 관리하는 과정, 거래 과정에 수반되는 업무 수행 과정 등에서 위험을 관리하는 데 필요한 사항을 정해 건전한 거래 질서를 확립하고 이용자를 보호하는 것을 목적으로 한다.

모범규준에 따르면 VASP는 위험관리위원회를 설치해야 한다. 위험관리위원회는 ▲위험관리의 기본 방침 및 전략 수립 ▲VASP가 부담 가능한 위험 수준 결정 ▲위험관리기준 제·개정 ▲요주의거래 관련 사고 방지 전략, 정책, 승인 절차 수립 ▲위험관리기준 및 체계에 대한 상시 점검 결과 보고 등을 심의, 의결한다.또한 VASP는 위험을 제때 인식, 평가, 감시, 통제하기 위한 위험관리기준을 마련해야 한다. 위험관리기준은 ▲위험관리 기본 방침 ▲위험의 종류, 인식, 관리 방법 ▲위험관리 담당 조직의 구조, 업무 분장 ▲위험관리 절차 ▲기준 준수 여부 확인 절차 및 위반 시 처리 방법 ▲해킹이나 전산사고 등 우발 상황에 대한 위험관리 계획 등을 포함해야 한다.

위험관리책임자는 1명 이상 지정해야 한다. 위험관리책임자를 임명하거나 해임할 때는 이사회 의결을 거쳐야 하며, 해임할 경우 이사 총수의 2/3 이상이 찬성해야 한다. 위험관리책임자는 위험관리에 대한 전문 지식과 실무 경험을 갖춘 사람이어야 하며, 준법감시인이 겸직할 수 있다. VASP는 위험관리 업무가 효율적으로 수행되도록 충분한 경험과 역량을 갖춘 인력으로 위험관리 조직을 운영하고, ▲위험 한도 운영 상황 점검 및 분석 ▲위험관리위원회, 이사회, 임원에 대한 위험관리정보 적시 제공 등 직무를 원활하게 수행하도록 지원해야 한다.

가상자산사업자의 위험관리 모범규준 / 출처=DAXA

모범규준은 요주의거래 관련 사고 방지를 위한 기준도 제시했다. 요주의거래란 이용자 위탁 자산의 보관 및 관리, 거래 과정에서 임직원이 수작업 등 비자동화된 방식으로 개입함으로써 오류 발생 가능성이 높다고 판단되는 거래를 말한다. 즉 요주의거래 관련 기준은 빗썸 오지급 사고처럼 수동 입력 과정에서 발생할 수 있는 오류를 방지하기 위한 조치다.

해당 조항에 따르면 VASP는 사고 방지 전략, 정책, 절차를 마련해야 한다. 여기에는 ▲유형 분류 기준 ▲계정 항목별 구분 및 관리 기준 ▲사전 거래 한도 설정 ▲거래 입력자와 승인자의 명확한 직무 분리 ▲승인 권한 차등화 및 다단계 승인 절차 ▲적정성 확인 위한 독립된 제3자의 교차 검증 절차 ▲입력값이 사전 설정한 거래 한도를 초과하면 거래 중단 조치 등의 내용이 포함되어야 한다.

VASP는 요주의거래 사고 방지 전략, 정책, 절차의 적정성을 반기 1회 이상 점검하고, 미비점이 발견되면 보완한 뒤 위험관리위원회에 보고해야 한다. 또한 모든 임직원이 요주의거래 관련 사고 방지 전략, 정책 및 절차를 인식하도록 노력해야 한다.

모범규준은 요주의거래 관련 사고가 발생한 경우의 보고 체계도 명시했다. 사고를 발견한 직원은 즉시 해당 부서장 및 위험관리책임자에게 보고하고, 사고 발생 부서는 발생일시, 이용자명, 업무 담당자, 발생 원인, 처리 내역, 예상 손실 내역 등을 기재한 사고 보고서를 작성해 위험관리책임자에게 제출해야 한다. 이후 위험관리책임자는 금융감독원장에게 지체 없이 보고해야 한다.

모범규준은 2026년 6월 30일부터 시행한다. 다만 위험관리체계 구축, 위험관리위원회 설치, 위험관리기준 마련 등 일부 조항은 시행 후 3개월이 경과한 시점부터 적용한다.

출처=셔터스톡

이번 모범규준은 빗썸 오지급 사고로 드러난 거래소의 내부통제 공백을 메우기 위한 자율규제다. 모범규준에서 명시한 위험관리위원회 설치와 위험관리책임자 지정 의무화, 요주의거래에 대한 직무 분리와 다단계 승인, 제3자 교차검증 등의 내부통제 장치는 빗썸 오지급 사고 재발 방지에 실질적인 도움이 될 것으로 기대된다. 사고 발생 시 보고 체계를 구체적으로 명시한 점도 사고 이후 대응 속도 향상에 긍정적인 영향을 미칠 것이다. 단 이번 모범규준은 자율규제인 만큼 실제 이행 여부는 각 VASP의 의지와 역량에 따라 달라질 수 있다. 시행까지 남은 기간 동안 VASP들이 모범규준의 세부 내용을 충실히 이행해 오지급 사고 같은 불미스러운 일이 재발하지 않기를 바란다.IT동아 한만혁 기자 (mh@itdonga.com)