NH농협은행, 화이트 리스트 두고 거래소 업계와 갈등 격화

특금법 시행 1주년 맞춰 트래블 룰 적용 앞두고, 거래소 업계 혼란 가중

---

한일 양국에서 벌어지고 있는 '화이트 리스트'가 전자는 옥죄기, 후자는 규제 일변도 고수를 지향하는 가운데 전자에 속하는 국내 암호화폐 거래소 업계는 혼란이 가중되고 있다.

오는 3월 특금법 시행 1주년에 맞춰 바스프(VASP, 가상자산 취급업자)를 상대로 트래블 룰 적용 의무화에 앞서 거래소 업계가 진통을 겪고 있기 때문이다. 앞서 언급한 화이트 리스트를 두고 한일 양국의 온도 차가 극명하게 드러나고 있다.

27일 국내 암호화폐 거래소 업계에 따르면 코인원은 1월 18일, 빗썸은 1월 19일부터 출금 방식을 화이트 리스트로 전환했다. 송수신자의 KYC와 지갑 주소 등을 사전에 등록한 고객에 한해 출금을 허용하는 방식이지만, KYC가 필요 없는 지갑 서비스나 국내에 특금법 신고 수리 서류를 제출하지 않은 해외 거래소 등도 차단돼 거래소 업계와 투자자들은 소위 멘붕에 빠졌다.


◆ 업계 "NH농협은행 월권행위" vs NH농협은행 "계약 조건일 뿐"
우선 한일 양국은 국제자금세탁방지기구(FATF)의 권고안에 따라 특금법과 자금 결제법이 시행됐다. 이는 일본의 자금 결제법, 싱가포르의 PSA, 유럽의 MiCA, 태국의 DA, 인도네시아의 상품선물거래 규제국(Bappebti) 규정 5·7호 등이 권고안에 따라 시행된 암호화폐 규제안이다.

이 중에서 일본과 인도네시아는 정부 당국의 심사를 거쳐 인증받은 각각 45개와 229개가 화이트 리스트 코인이 존재한다. 하지만 국내는 화이트 리스트를 민간기업이 실명계좌 발급을 빌미로 거래소에 요구한 조항이다. 이와 비슷한 그레이 리스트는 FATF가 지정한 자금세탁 위험성이 높은 국가로 국내에서 영업 중인 거래소의 회원 가입 제한에 적용되고 있다.

다시 돌아와서 현재 빗썸과 코인원이 트래블 룰 적용에 앞서 사전 작업으로 진행 중인 화이트 리스트는 NH농협은행의 계약 조건이라는 게 업계 관계자들의 전언이다.

문제는 빗썸과 코인원을 중심으로 진행 중인 화이트 리스트가 거래소 업계와 투자자 사이에서 혼란을 부추기고 있다는 의견이 지배적이라는 점이다. 화이트 리스트로 인해 빗썸과 코인원이 가두리 메타로 전락할 것이라는 의견과 민간기업의 계약 조건이 FATF와 특금법, 정부 당국의 규제 등을 초월해 실명계좌 발급의 우월적 지위를 남용한다는 지적이다.

빗썸에 따르면 화이트 리스트가 기존 57개 사업자에서 9개, 다시 9개에서 12개로 수시로 변동되고 있다. 특이한 점이 있다면 사전에 등록된 지갑 주소를 일단 반려하고, 추가되는 리스트에 따라 다시 등록해야 하는 번거로움이 존재한다.

하지만 빗썸이 공개한 12개 사업자 중에서 일부 거래소는 FATF 회원국에서 정식 라이센스를 받지 않은 곳이 포함돼 의견이 분분하다. 예를 들면, 코인베이스, 크라켄, 코인체크, 비트플라이어, 비트 뱅크, 라인 비트맥스 등은 일본 금융청과 JVCEA가 심사를 거쳐 1종 라이센스를 받은 정식 사업자다.

이에 비해 바이비트(Bybit)는 지난해 여름 일본 금융청과 캐나다 온타리오 증권거래위원회로부터 경고를 받은 사업자다. 특히 일본은 2종 회원으로 가입해 심사를 거쳐 1종만 영업을 허용하는 탓에 바이비트를 비롯해 바이낸스, BtcNext, 비트포렉스 등도 불법 영업으로 간주해 경고 조치를 내린 바 있다.

항간에 출금을 위해 각 국가에서 정식 라이센스를 발급받지 않은 사업자도 포함시키라는 조건에 NH농협은행 측은 "해외에서 허가받은 거래소의 등록을 요구한 바 없다"고 전했다.

NH농협은행에 따르면 빗썸과 코인원의 화이트 리스트는 NH농협은행의 요청이 아닌 거래소 자체 기준에 따라 시행 중인 정책이라고 선을 그어버린 것.


◆ NH농협은행 "빗썸·코인원 위험평가는 은행연합회 가이드라인 따른 것"
NH농협은행은 업계에서 제기된 갑질 논란에 대해 "당행 수준이 아닌 대부분 은행연합회 가이드라인에 따른 위험평가 기준에 맞게 위험평가를 실시했다"고 입장을 밝혔다.

이러한 설명에도 거래소 업계는 반발하고 있다.

금융정보분석원에 신고 서류를 접수했고, 금융위원회의 심사를 거쳐 신고 수리가 완료됐으며, 과기부의 가상자산사업자 전용 ISMS 인증 심사까지 받는 등 정부 당국의 모든 심사를 거쳐 인가를 받았음에도 트래블 룰 적용과 별도로 요청한 항목은 이른바 실명계좌 발급과 유지에 필요한 독소조항이라는 목소리가 나온다.

업비트의 케이뱅크, 코빗의 신한은행이 별다른 움직임을 보이지 않는 것에 비해 유독 NH농협은행만 정부 당국과 중복 규제로 거래소를 옭아메고 있다는 지적이다.

KISA에 따르면 가상자산 사업자 전용 ISMS 심사 항목은 ▲관리체계 수립 운영(16개, 세부 항목 42개) ▲보호 대책 요구사항(64개, 세부 항목 192개) ▲개인정보 처리단계별 요구사항(22개, 세부 항목 91개) 등 총 3개 부문 세부 항목 325개와 56개가 추가된 총 381개 항목이다.

이는 금융보안원(FSI, Financial Security Institute)이 전자금융거래법과 신용정보법의 적용 대상이 되는 금융회사 및 전자금융업자를 대상으로 ISMS 인증 심사를 진행, 2016년 금융권에 적합한 324개를 개발해 2017년에 적용한 이후 384개의 세부 항목과 비슷한 수치다.

단적으로 빗썸과 코인원은 금융권에 준하는 381개 항목의 가상자산 사업자 전용 ISMS, 농협은행 384개에 불과하다. NH농협은행이 핀테크 기업 등과 설립한 커스터디 사업자 '카르도'는 ISMS 인증번호를 획득했지만, 특금법 시행에 따른 정식 사업자로 인정받지 못한 '유보'로 분류돼 재심사가 진행 중이다.

금융정보분석원에 따르면 KB국민은행이 참여한 한국디지털에셋(코다, KODA)과 신한은행이 참여한 한국디지털자산수탁(케이닥, KDAC)은 특금법 시행에 따른 정식 사업자 29곳에 포함됐지만, NH농협은행이 핀테크 기업 등과 설립한 커스터디 사업자 '카르도'는 '유보'로 분류돼 재심사를 앞두고 있다.

정리하면 농협은행의 ISMS 인증 심사에 준하는 빗썸과 코인원은 특금법 시행 첫 해 신설된 '가상자산 사업자'로 ISMS 심사를 거쳤지만, 이와 별도로 NH농협은행이 요구한 계약조건이 중복 규제 혹은 업계의 룰을 무시한 처사라는 지적이 나오는 이유다.