[로펌라운지] 바른, '가상자산이용자보호법과 웹 3.0 컴플라이언스' 온·오프 세미나 성료

2024-10-31 10:53
웹3.0에선 개인정보보호 보다 개인키 탈취에 더 유의해야
가상자산 사업자 이용자 개인정보와 자산탈취 대비 시스템 보안 중요

한서희 변호사가 30일 섬유센터빌딩 바른회의실에서 열린 세미나에서 ’가상자산이용자보호법과 웹 3.0 컴플라이언스‘ 주제발표를 진행하고 있다. [사진=법무법인 바른]
법무법인 바른(대표변호사 박재필 이동훈 이영희)은 30일 섬유센터빌딩 바른회의실에서 ‘가상자산이용자보호법과 웹 3.0 컴플라이언스’ 온∙오프세미나를 개최했다.

이날 세미나는 가상자산이용보호법에서 규정하는 이용자 보호 강화 흐름을 진단하고, 가상자산사업자 및 웹 3.0 관련 사업자의 입장에서 어떻게 보안사고에 대처해야 하는 지 등 관련정보를 공유하기 위해 마련됐다.

바른 디지털자산·혁신사업팀장을 맡고 있는 한서희 변호사는 ‘웹3.0 컴플라이언스’ 주제 발표를 통해 가상자산이용자보호법 시행에 따라 가상자산 거래소의 이용자보호의무가 강화되고 있다고 설명했다.

가상자산이용자보호법(이하 ‘법’) 및 같은 법 시행령은 ‘가상자산사업자는 이용자 예치금을 고유재산과 분리해 관리기관에 예치 또는 신탁해야 하고(6조, 예치금 보호), 위탁받은 가상자산과 동일한 종류와 수량의 가상자산을 실질적으로 보유해야 하고, 80%이상 자산을 인터넷과 분리해 안전하게 보관해야 하고(7조, 가상자산 보관), 특히 보관업자에게 위탁할 경우 보안기준을 충족해야 하며(7조4항), 위험관리 및 사고예방에 관한 사항 등에 관한 업무지침을 마련하고, 시스템 안정성과 보안성을 연 1회 이상 점검 받으며, 위탁받은 가상자산 전부를 인터넷과 분리해 안전하게 보관해야 한다(시행령 11조 2항)’고 정하고 있다.

여기에 더해 사업자의 임의적 입출금 차단 금지 규정(법 11조)을 둬, 정당한 이유 없이 입출금을 차단할 수 없도록 하면서도 시행령 제17조에서 입출금 차단이 허용되는 정당한 사유를 구체화했다.

정당한 사유로 보이스피싱, 불법재산이나 자금세탁행위, 공중협박자금조달행위와 관련이 있다고 의심할 만한 합리적 이유가 있는 경우 등이 있다. 또 사업자가 가격이나 거래량의 비정상적인 변동거래를 상시 감시하고, 이용자 보호 및 건전한 거래질서 유지를 위한 조치를 취하는 등 이상거래에 대한 감시의무(제12조)도 명확히 했다. 이상거래는 ‘가상자산 가격이나 거래량이 비정상적으로 변동하는 경우, 가상자산의 가격 등에 영향을 미칠 수 있는 풍문이나 보도가 있는 경우, 기타 가상자산시장에서의 공정한 거래질서를 해칠 우려가 있는 경우’를 의미한다고 시행령 18조에서 규정하고 있다.  

한 변호사는 입법을 통한 이용자 보호의무 강화에 따라 가상자산 비즈니스에서 사업자와 이용자가 유의해야 할 사항을 진단했다. 사업자는 △개인정보와 자산의 탈취에 대비한 시스템 보안이 중요하며, 웹3.0의 관점에선 개인정보보호 보다 개인키 탈취에 각별히 유의할 필요가 있고, △가상자산거래소 시스템상 문제나 전산장애로 주문처리가 지연된 경우 사업자에게 귀책사유를 인정하고 있으나, 손해발생이 입증되지 않으면 배상금액 범위가 작은만큼 주문처리 지연 방지를 위한 시스템 설계에 유의해야 하며, △웹3.0 서비스는 개인키 탈취나 외부공격을 막고, DEX(탈중앙화 거래소)의 가격형성 매커니즘에 대한 공격을 막기 위해 지갑에 대한 사전 이력확인이 더욱 중요하다고 설명했다.

반면 이용자는 △DEFI(탈중앙화 금융)의 경우 해킹위험에 노출될 수 있고 휴대전화 등을 통한 해킹이 가장 많이 위험에 노출되는 경로임을 인지하고 개인키 보안에 유의하며, △DEFI의 경우 가격조작에 용이하므로 시세조작 위험이 노출되어 있음을 인지해야 하고, △가상자산거래소 전산장애 발생 시 매매를 하지 못한 것으로 인한 손해배상을 받기 어렵다는 점, △전산시스템 안정성이나 보안 등을 거래소 선택시 기준점으로 삼아야 한다고 설명했다. 한서희 변호사는 “앞으로 고객보호나 CS차원에서 해킹방지시스템이나 보이스피싱, 사기 등의 경우에 그에 대한 사후적인 CS를 제공하는 경우도 많아질 수 있을 것으로 보인다”고 말했다.

두번째 발표자로 나선 웁살라시큐리티 김형우대표는 ‘SEC 규제를 통해 살펴보는 가상자산 사례분석’ 발표를 통해 최근 미국 FBI가 위장수사를 통해 암호화폐 조작 및 워시트레이딩(wash trading) 혐의로 갓빗(Gotbit) 등 복수의 사업자를 기소한 사레를 소개했다.

이들은 토큰 가격을 부풀려 투자자를 유인한뒤 판매하는 ‘펌프 앤 덤프(가격을 인위적으로 상승시킨 후 급매 통해 이익을 챙기는 불법적인 시장조작 수법)’사기 행위를 통해 불법수익을 얻은 것으로 드러났다. FBI는 지난 10월18일 암호화폐 사기 및 시장조작에 연루된 18명의 개인과 단체를 기소했는데, 2500만달러 이상의 암호화폐를 압수했다. 김대표는 “FBI가 이번 수사를 통해 시장조성자들이 워시트레이딩과 펌프앤덤프 수법을 어떻게 활용하는 지 파악하는 등 암호화폐 시장에서 금융범죄를 다루는 데 있어 중요한 선례가 되었다”고 설명했다.

세번째 발표자로 나선 임주영 안랩블록체인컴퍼니 사업총괄리더는 ‘사이버시큐리티 관점에서 바라본 가상자산이용자보호 방안’ 주제 발표를 통해 최근 딥페이크를 활용한 로맨스 스캠이 기승을 부리는 등 다양한 사기가 횡행하는 만큼 사업자는 물론 이용자도 각별한 주의가 필요하다고 강조했다. 임리더는 대안으로 내부직원 권한을 분산하고, 최소화해 내외부 위협으로부터 이용자 자산이 안전할 수 있도록 조치할 것을 제시했다.

마지막 세션에서 싱가포르 블록체인 전문회사인 헤라랩스(Hela Labs) 커칭 추(kerching choo) 공동창립자 겸 CTO는 ‘싱가포르에서의 가상자산 규제 및 웹3.0’ 주제발표를 통해 최근 싱가포르에서는 리셴룽 전 부총리가 허위투자계획을 홍보하는 딥페이크 동영상이 등장하는 등 딥페이크 사기가 급증하고 있다고 했다.

그는 암호화폐 사기도 급증추세로 2024년 상반기에만 사기피해가 3330건 이상 보고되었고, 피해액은 1억3300만달러(약 1392억원)를 초과했다고 말했다. 싱가포르 정부는 시민보호를 위해 사기전화와 메시지를 차단해주는 앱 ‘스캠쉴드(ScamShild)’를 배포하는 등 피해예방에 나서고 있다. 특히 올해 4월부터 삼성전자가 싱가포르 과학기술청과 협업해 싱가포르에서 사용되는 모든 삼성전자 기기에 스캠쉴드 앱을 설치하는 양해각서를 체결해 정부와 민간이 공공 온라인 안전을 위해 협력한 사례로 소개했다.