금감원 2026년 3월 19일 국회 건의…콜드월렛 80% 보관 의무에도 '하루 1회 대조'로는 시스템 리스크 방어 못해
상장 '거래소 선택'→'시장 진입 절차'로 재정의 필요…대주주 지분 논쟁에 2단계 입법 표류, 핵심 처방은 뒷전
가상자산 거래소 빗썸에서 발생한 62조원 규모의 오지급 사태와 665만 건에 달하는 특금법 위반 제재는 단순한 전산 오류나 실무자의 일탈로 보기 어렵다. 자산의 보관부터 거래, 상장 심사까지 독점하는 구조 속에서 내부통제의 붕괴는 예고된 참사였다. <알파경제>는 빗썸에서 벌어진 일련의 사건사고를 통해 내부통제 실패의 구조적 원인을 진단하고 제도적 해법을 모색하는 4부작 기획기사를 준비했다. [편집자주]
① 제1회: 사고 연대기 — "62조 오지급부터 영업정지까지, 멈추지 않는 사고의 기록"
② 제2회: 지배구조의 민낯 — "보이지 않는 주인, 통제받지 않는 의사결정 권력"
③ 제3회: 독점적 사업모델의 함정 — "심판이 선수로 뛰는 시장, 설계된 이해상충"
④ 제4회: 제도와 처방 — "빗썸 문제는 현상이 아닌 결과다 — 제도는 무엇을 놓쳤나"
 |
| 이재원 빗썸 대표이사가 11일 국회 정무위원회에서 열린 국내 가상자산거래소 빗썸에서 발생한 거액의 비트코인 오지급 사태 관련 긴급 현안 질의에서 여야 의원들의 질의에 답하고 있다. (사진=연합뉴스) |
[알파경제 = 이준현 기자] 빗썸의 연쇄 사고는 특정 기업의 일탈이 아니다. 현행 제도가 가상자산 거래소의 내부통제를 실질적으로 규율하는 데 얼마나 무력했는지를 드러낸 구조적 결과물에 가깝다.
자금세탁방지(AML) 의무는 법으로 규정됐지만 665만 건이 위반됐고 장부와 실물 간 실시간 대조 의무는 법 어디에도 없었으며 부과된 제재는 행정소송으로 집행이 중단됐다.
그 틈새에서 시스템 리스크는 계속 자라고 있다.
◇ 665만 건이 증명한 감시망의 공백…제재마저 소송으로 막혔다
지난달 16일 금융정보분석원(FIU)은 현장검사 결과를 바탕으로 빗썸에 영업 일부정지 6개월(3월 27일~9월 26일)과 368억원의 과태료를 부과했다.
고객확인(KYC) 위반 약 355만 건, 거래제한 의무 위반 약 304만 건, 자료보존 위반 약 1만6000건에 미신고 해외 18개사와의 4만5772건 거래 지원이 핵심 근거였다.
FIU가 사전에 거래 중단을 요청했음에도 장기간 실효성 있는 조치를 취하지 않은 정황이 제재의 중요한 근거였다.
그러나 빗썸은 즉각 행정소송을 제기했고 서울행정법원은 영업정지 효력을 일시 정지시켰다.
665만 건의 위반에 수백억 원의 제재를 부과해도 법원 판단 전까지 집행이 사실상 중단되는 구조다.
이처럼 AML 기본 의무조차 제대로 이행되지 않은 상황에서 그보다 훨씬 복잡한 내부통제와 운영 리스크는 제도의 직접적인 통제권 밖에 있었다.
장부 기반 거래의 불투명성과 지배구조의 폐쇄성은 '자율 영역'이라는 이름 아래 방치됐고 거래소는 형식적인 규제를 이행하는 척하면서 실질적인 리스크 구조를 고스란히 유지할 수 있었다.
조호진 타키온월드 대표이사는 "AML 체계가 사후 적발과 과태료 부과에 그치는 구조에서는 위반을 반복해도 소송으로 시간을 벌면 된다는 학습 효과가 생긴다"라며 "감독당국의 즉시 개입 권한을 법에 명시하는 것이 선행돼야 한다"고 지적했다.
 |
| 24일 경찰이 '김병기 차남 채용 의혹’과 관련 빗썸 본사 등을 압수수색 중이다. (사진=연합뉴스) |
◇ 오지급을 막을 법이 없었다…‘하루 1회 대조’의 치명적 공백
지난 2월 62조원 오지급 사태는 특금법의 규율 대상 자체가 아니었다.
담당 직원이 원화 금액을 비트코인(BTC) 수량으로 잘못 입력했을 때 이를 막을 수 있는 것은 내부통제 시스템, 즉 입력값 검증 로직과 다단계 지급 승인 절차, 실시간 잔고 대조 시스템이어야 했다. 그러나 이 중 어느 것도 작동하지 않았다.
지난해 7월 시행된 가상자산 이용자보호법은 이용자 자산의 80% 이상을 콜드월렛에 보관하도록 의무화했지만 빗썸의 장부와 실제 보유 자산 대조는 하루 단 한 번에 불과했다.
실시간 대조 의무는 법 어디에도 규정되어 있지 않았다.
이 구조적 공백을 확인한 금융감독원은 지난달 19일 국회에 공식 건의안을 제출했다. 전산 원장과 실물 보유 자산의 실시간 일치 확인 의무, 잔고 초과 입력 실시간 차단 시스템 구축, 이벤트 지급용 별도 계정 운영 등을 법제화해 달라는 것이다.
신뢰는 거래소의 약속이 아니라 검증 가능한 구조에서 나온다.
 |
| 8일 서울 강남구 빗썸 라운지. (사진=연합뉴스) |
◇ 상장은 ‘거래소의 선택’이 아니다…독립 심사 기구로의 전환
특정 자산에 공신력을 부여하고 이용자에게 신뢰 신호를 보내는 상장 권한은 그동안 거래소 내부에서 독점적으로 행사됐고 심사 기준과 의사결정 과정은 외부 검증으로부터 철저히 단절됐다.
이제 상장은 ‘거래소의 선택’이 아닌 ‘시장 진입 절차’로 재정의되어야 한다.
상장 승인 주체를 거래소 운영 조직으로부터 분리하거나 독립 심사 기구를 통해 의사결정 경로를 투명화하고 심사 기준과 결과를 공시하는 구조적 강제가 필요하다.
그러나 2단계 입법인 디지털자산기본법에서 이 문제가 실질적으로 다뤄질지는 불분명하다. 대주주 지분 제한 논쟁에 가려 상장 심사 구조 개혁은 논의의 중심에서 밀려난 상태다.
상장은 수익 창출 수단이 아니라 시장 신뢰를 형성하는 책임의 영역이라는 인식 전환이 먼저다.
 |
| 빗썸. (사진=연합뉴스) |
◇ 기능 분리·즉시 개입 권한…지분 논쟁에 발목 잡힌 입법
가장 근본적인 해법은 기능의 물리적 분리다.
매매와 수탁 기능을 분리하고 시장감시를 외부 독립 조직으로 이관하는 것은 전통 금융에서 검증된 원칙이다.
금감원은 이를 위해 은행법 제34조의3(금융사고 예방)을 준용한 다중승인 절차와 시스템 접근권한 관리 기준 명시를 건의했다. 또 전자금융거래법처럼 가상자산사업자가 매년 IT부문 계획을 수립해 대표자 서명을 받아 제출하도록 하는 방안도 포함됐다.
감독 방식 역시 사전 통제로 근본적으로 바뀌어야 한다. 현재 금감원은 가상자산 거래소에 직접 제재를 내릴 법적 권한이 없고 사업자가 자료 제출을 거부하면 금융위의 조치명령을 거쳐야 하는 등 신속한 대응이 어렵다.
이에 금감원은 임원 문책경고, 직원 면직 요구, 임원 선임 최대 5년 제한 등 은행법 수준의 강력한 제재권을 직접 명시하고 온체인 데이터를 활용한 이상 거래 실시간 탐지 체계로 전환할 것을 국회에 건의했다.
초단위로 거래가 이뤄지는 가상자산 시장에서 사고 이후 현장검사로 대응하는 방식으로는 피해를 예방하기 어렵다.
감독의 정체성을 '사고 이후의 책임 추궁'에서 '사고 이전의 선제적 개입'으로 전환하는 것이 핵심이다.
2단계 입법에서 가장 뜨거운 쟁점은 대주주 지분 제한이다. 금융당국은 대체거래소(ATS)의 15% 룰을 준용해 지분을 15~20%로 제한해야 한다는 입장인 반면 국회 여야 태스크포스(TF)는 개인 20%, 법인 34% 수준을 검토 중이다.
업계는 강제 지분 매각이라며 반발하고 있어 이 논쟁에 발목이 잡힌 입법 자체가 표류할 위기다.
한치호 경제평론가 겸 행정학 박사는 "대주주 지분 상한 논쟁이 2단계 입법을 인질로 잡고 있는 사이 수탁 분리·상장 외부화·실시간 감독 체계 구축은 계속 미뤄지고 있다"라며 "땜질식 규제를 더하는 것이 아니라 시장의 골조를 다시 설계해야 할 시점"이라고 강조했다.
기술은 빠르게 발전했지만 내부통제 구조와 감독 체계는 훨씬 느리게 따라가고 있다.
탈중앙화는 책임의 부재를 허용하는 면죄부가 아니다. 보이지 않는 리스크를 제어하기 위해 책임을 더 정교하게 설계해야 하는 영역이다.
기능을 분리하고 장부와 실물을 실시간으로 대조하며 감독 권한을 실효적으로 정비하는 것만이 제2의 빗썸 사태를 막는 유일한 구조적 해법이다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
