임직원 등 사기·횡령 이력, 시스템 안전·보안 등 살펴
실소유주 사기 혐의 기소된 빗썸 검증 통과될지 관심

▲ 빗썸. 사진=연합뉴스
[일간투데이 이욱신 기자] 시중은행들이 가상화폐거래소 실사 과정에서 임직원 등 관계자의 사기·횡령 이력 등을 비롯해 전반적 평판, 외부 해킹 발생 이력 등 시스템 안전성·보안 등을 전방위적으로 꼼꼼히 살펴볼 예정이다.

바뀐 특정금융거래정보법(특금법)에 따라 사실상 가상화폐거래소에 대한 '종합 검증' 역할을 떠안게 됐기 때문이다. 이에 따라 주요 거래소 중 최근 실질적 소유자가 사기혐의로 기소된 빗썸이 은행권의 검증을 통과할지 업계의 이목이 집중되고 있다.

20일 금융권에 따르면 은행연합회는 이번달 초 '가상자산 사업자(가상화폐 거래소) 자금세탁방지(AML) 위험평가 방안'을 시중은행에 내려보낸 데 이어 최근 이사회에서 실제 적용 방안 등을 논의했다.

지난 3월부터 시행된 개정 특금법과 시행령은 가상자산 사업자들에도 자금세탁 방지 의무를 부여하고 반드시 은행으로부터 고객 실명을 확인할 수 있는 입출금계좌를 받아 영업하도록 규정하고 있다.

은행은 가상화폐 거래소로부터 실명 확인 입출금계좌 발급 신청을 받으면 해당 거래소의 위험도·안전성·사업모델 등에 대한 종합적 평가 결과를 토대로 실명 입출금 계좌 발급 여부를 결정해야 한다.

하지만 금융정보분석원(FIU) 등 당국이 필수적 평가요소, 절차 등 최소한의 지침을 주지 않자 은행연합회와 은행들은 최근 수 개월간 외부 컨설팅 용역을 받아 '공통 평가 지침'으로서 이번 방안을 마련했다.

방안에 따르면 은행은 실명 계좌 발급을 결정하기 위해 우선 법 준수 여부와 관련된 '법적 요건' 10개 항목, 사업연속성에 관한 '기타 요건' 6개 항목을 포함한 '필수 요건'을 문서, 인터뷰, 실사 등을 통해 점검한다.

법적 요건 항목은 ▲ISMS(정보보호관리체계) 인증 획득 여부 ▲금융 관련 법률 위반 이력 ▲예치금·고유재산 및 고객별 거래내역 구분·관리 여부 ▲다크코인(거래정보가 드러나지 않는 가상화폐) 취급 여부 등이다.

기타 요건에는 ▲대표자 및 임직원 횡령·사기 연루 이력 ▲부도 회생, 영업정지 이력 ▲외부해킹 발생 이력 ▲신용등급 ▲당기순손실 지속 여부 등이 포함됐다.

이런 기본적 필수 요건을 우선 점검한 뒤 다시 자금세탁에 악용될 여지가 있는 '고유 위험' 16개 항목, 내부 통제의 적정성과 관련된 '통제 위험' 87개 항목에 대한 정량 평가가 이어진다.

고유 위험 항목은 ▲국가위험(고위험 국적 고객 거래량) ▲상품·서비스 위험(가상자산 신용도) ▲고위험 고객 위험 ▲가상자산사업의 내재 위험(자기자본·유동성 비율) ▲가상자산사업자 평판위험(부정적 사건 발생 여부) 등을 말한다.

통제 위험은 ▲내부통제체계(내부규정·지침 설계·운영 적정성) ▲독립적 감사체계 ▲고객확인 충실도(비대면 고객 확인 및 검증 체계) ▲고객 위험평가 충실도 ▲요주의 필터링 충실도(국제기구 지정 제재대상자 통제 여부) 등의 항목으로 평가된다.

은행은 고유 위험과 통제 위험 각 항목의 점수를 종합해 위험등급을 고·중·저 3단계로 나눈 뒤 거래 여부를 결정하게 된다.

필수 요건 중 법적 요건으로서 '대표자 및 임직원 횡령·사기 연루 이력'이 명시되면서 업계에서는 빗썸의 검증 통과 가능 여부에 관심이 집중되고 있다.

앞서 지난달 23일 서울경찰청 지능범죄수사대는 빗썸 실소유주 이모 전 빗썸홀딩스·빗썸코리아 이사회 의장을 특정경제범죄 가중처벌 등에 관한 법률(특경가법)상 사기 혐의로 검찰에 송치했다. 이 전 의장은 2018년 10월 빗썸 매각 추진 과정에서 암호화폐인 BXA 코인을 상장한다며 상당한 양의 코인을 사전판매(프리 세일)했으나 실제로는 상장하지 않은 혐의를 받고 있다.

최근 잇따르는 빗썸의 매매·입출금 지연 사고와 미흡한 보상, 재발 방지 대책도 감점 요인이다. 빗썸 홈페이지 공지사항을 보면 4월 이후 지난 15일까지 모두 11건의 '지연 안내'가 게시됐다. 한 달 보름 동안 거의 나흘에 한 번꼴로 지연 사고가 발생한 셈이다. 개별 코인과 관련해 수시로 올라오는 "네트워크 이슈로 입출금이 일시 중지됐다"는 안내 공지를 빼고도 이 정도일 만큼 사고가 잦다.

은행권에선 빗썸의 이런 현실은 법적 요건 항목의 'ISMS(정보보호관리체계) 인증 여부', 고유 위험 평가 항목 가운데 '가상자산사업자 평판위험(부정적 사건 발생 여부)' 등에 부정적 영향을 준다고 보고 있다.

이에 더해 빗썸은 지난 11일 발생한 표기 오류, 수 분간 매매 지연 현상이 API(응용프로그램 인터페이스) 기반 자동 주문 프로그램을 통한 접속과 주문이 급증했기 때문으로 분석하고 API 레이트 한도를 조절했지만 구체적 사고 원인은 공개하지 않고 있다.

시중은행 관계자는 "단순 접속 폭주 때문인지 외부 세력의 의도적 조정 또는 공격인지 별다른 설명이 없다"며 "실명계좌 재발급을 위해서는 이 부분이 통제 위험의 항목인 외부해킹 발생과 관련이 있는지 등의 여부도 따져봐야할 것"이라고 지적했다.
저작권자 © 일간투데이 무단전재 및 재배포 금지