금융감독원이 내달 '가상자산 이용자보호법' 시행을 앞두고 현장컨설팅을 진행한 결과, 미흡사항이 다수 발견됐다. 예컨대 고유한 가상자산을 지갑별 분리 없이 동일한 지갑에 같이 보관하거나, 가상자산을 옮길 때 온라인에서 전자서명을 수행해 해킹에 노출되는 사례 등이 나타났다. 금감원은 개별 가상자산사업자에게 개선을 권고하고, 법규 시행에 만전을 기한다는 방침이다.

금감원은 지난 2~4월 중 15개 사업자를 대상으로 가상자산법 이행 준비 실태 파악과 지원을 위해 현장컨설팅을 실시했다고 17일 밝혔다. 현재 가상자산 업계는 가상자산법 이행 준비를 위한 조직과 인력 시스템을 구축하고 있으며, 세부 내부통제 절차를 마련하고 있다. 금감원은 법률상 사업자의 의무인 △이용자 자산 관리 △거래 기록 유지 및 보고체계 △이상거래 감시의무를 중심으로 실시했다.

금감원은 컨설팅 과정에서 크게 △이용자 가상자산의 보관·관리 의무 △이상거래 상시감시 의무 등의 미비점을 발견했다.

먼저 일부 사업자는 고유·고객 가상자산을 원장(DB)에서는 분리해 보관하고 있으나, 지갑은 분리하지 않은 채 동일 지갑에서 혼장 보관했다. 고유 가상자산과 고객 가상자산은 각각 관리·통제 절차가 다르게 적용돼야 하고, 책임소재도 구분돼야 한다. 동일한 지갑에 보관·관리할 경우 권한이 없는 고유 가상자산 관리자에 의해 고객 가상자산이 탈취될 가능성이 있다.

이에 금감원은 원칙적으로 고유·고객 가상자산 간 지갑을 분리(내규에도 반영 필요)해 보관하되, 고유·고객 가상자산에 대한 통제절차를 각각 구분하여 적용·관리하면서 주기적으로 점검·분리를 실시하도록 권고했다.

또 일부 사업자는 콜드월렛(오프라인 지갑)에서 핫월렛(온라인 지갑)으로 가상자산을 이전 시 온라인 환경에서 전자서명을 수행함으로써 해킹 등에 의한 개인키 유출될 위험이 있었다. 금감원은 전자서명 절차가 인터넷과 분리된 오프라인 환경에서 이루어질 수 있도록 개선할 것을 자문했다.

아울러 금감원은 법률상 의무의 원활한 이행을 위해 이상거래 모니터링 시스템을 체계적으로 구축토록 하고, 전문성 확보를 통해 실질적인 운영이 가능하도록 담당 인력에 대한 교육 강화 또는 전문인력 충원 등을 권고했다. 이외에도 △콜드월렛 보관비율(80%)이 감독규정보다 낮은 수준으로 보관 △가상자산 내부 이전(콜드월렛→핫월렛) 과정에서 지갑주소, 수량 등을 수기로 입력하거나 거래내역을 복사·입력 △개인키 보관 미흡 △전자서명 단말기 관리 미흡 △내부통제체계 미흡 등을 발견해 개선 조치했다.

금감원 관계자는 "법 시행 시점까지 사업자의 준비현황을 서면으로 지속 확인해 사업자의 미흡사항 보완을 유도할 것"이라면서 "사업자 실무에 적용 가능하도록 업계와 함께 가상자산 지갑 관리 등의 사례 위주로 실무해설서를 마련하여 배포할 예정이다. 이달 중순부터는 규제 시범적용을 통해 준비 상황을 최종 점검하고, 미비점을 보완할 예정"이라고 말했다.