리뷰10K

정부 당국과 특금법 규제 속 ISMS와 실명계좌 등 해법 못 찾아

드디어 국내 암호화폐 거래소의 폐업 행렬이 시작됐다.

지난 25일 금융정보분석원(FIU)이 '신고 준비상황별 가상자산사업자 명단'에서 ISMS 인증번호를 획득하지 못한 거래소 42곳 중 디지파이넥스코리아가 사업중단을 공식적으로 발표, 특금법 규제에 따른 연쇄 철수가 이어질 것으로 예상된다.

31일 디지파이넥스코리아에 따르면 9월 1일 오전 9시부터 암호화폐 거래와 원화 입금이 중단된다. 원화와 암호화폐 출금은 각각 9월 23일 오후 6시와 10월 28일 오후 6시까지만 할 수 있으며, 10월 29일 공식적으로 거래소 서비스를 종료한다.

이전까지는 금융위와 금융정보분석원의 언급만 있었지만, 25일에 진행된 경제관계장관회의가 2017년 9월 4일에 ICO 금지와 관련된 관계부서가 모두 등장해 이전과 다른 최종 통보라는 성격이 짙었다는 지적이다.

범부처 특별 단속의 중간 결과 발표에 언급된 국무조정실, 금융위원회, 기획재정부, 과기정통부, 법무부, 경찰청, 공정거래위원회, 방송통신위원회, 개인정보보호위원회, 국세청, 관세청, 금융감독원 등 정부 당국의 압박이 거세게 작용, ISMS 인증번호와 실명계좌를 받지 못한 거래소를 향해 시한부 선고를 내렸다.

이보다 앞서 KISA는 7월부터 ISMS 인증 심사를 신청한 거래소는 9월 24일 이전에 인증번호 획득이 어려울 것이라는 입장을 밝히면서 ISMS 인증을 통한 코인마켓 보존도 어려워졌다.

여기에 명단 발표 후 엎친 데 덮친 격으로 은행권에서 기존 계좌를 사용할 수 없다는 공문까지 발송, 디지파이넥스코리아를 비롯한 다른 거래소도 정상적으로 거래소 사업을 할 수 없는 상황에 처하면서 사업 철수 절차를 밟게 됐다.

디지파이넥스코리아 관계자는 "안전하고 빠른 거래환경을 제공하고자 오늘날까지 노력해 왔지만, 특금법 시행에 따른 규제 환경의 변화로 거래소 서비스 제공이 어려워져 더는 서비스를 할 수 없게 됐다"고 전했다.

ISMS 인증번호와 실명 계좌 획득보다 시급한 오더 북 공유, 살고 싶다면 손절 여론 조성

지난 3월 24일 특금법 시행 이후 9월 24일까지 신고 수리 서류를 접수해야 하는 거래소 업계 사이에서 시급한 문제가 있었으니 바로 오더 북 공유다. 쉽게 말해서 오더 북 공유는 XXX 코리아, OOO 코리아가 본사와 오더 북을 공유, 거래쌍을 제휴 형태로 확장해 영업 중인 것을 말한다.

하지만 특금법 시행 이후 ISMS 인증 번호와 실명계좌 발급 심사보다 오더 북 공유와 다크 코인 취급 금지는 국내서 영업 중인 거래소의 필수 조건으로 일부 거래소는 이미 본사와 손절, 자생력을 갖추기 위해 사활을 걸고 있다.

4일 암호화폐 거래소 업계에 따르면 플라이빗-바이낸스, 에이프로빗-비트파이넥스, 프로비트 코리아-프로비트 글로벌, 디지파이넥스 코리아-디지파이넥스 등이 오더 북을 공유할 수 있는 거래쌍을 모두 제휴 파기 형태로 종료했다.

지난해 12월 28일 에이프로빗이 비트파이넥스와 오더 북 공유 중단을 시작으로 ▲2021년 4월 2일 디지파이넥스 코리아, 디지파이넥스 오더북 종료 ▲2021년 5월 14일 플라이빗, 바이낸스 오더 북 종료 ▲2021년 6월 2일 프로비트 코리아, 프로비트 오더 북 종료 등으로 기존 거래쌍 중에서 비트코인(BTC), 이더리움(ETH), 테더(USDT) 마켓의 거래쌍을 지우고 있다.

일각에서는 이들은 ISMS 인증 획득 이후 실명계좌 발급 심사까지 준비하는 정상적인 거래소로, 그 외 오더 북 공유와 다단계 영업을 앞세운 다른 거래소보다 생존 의지가 강력하다는 이야기까지 나온다.

예년과 달리 오더 북 공유는 정부 당국에서 가이드 라인없이 특금법 시행을 이틀 앞두고 금융정보분석원(FIU)의 추가 설명이 전부였다.

금융정보분석원에 따르면 오더 북 공유가 허용되는 조건은 다른 가상자산사업자가 국내 또는 해외에서 인허가 등을 거친 사업자, 다른 가상자산사업자의 고객에 대한 정보를 확인할 수 있을 것 등 단 2개만 설명했다.

이를 두고 업계는 업비트와 빗썸의 면죄부를 주기 위한 조치라는 의견이 분분했다. 실제 업비트는 업비트APAC 소속의 업비트 싱가포르, 업비트 인도네시아, 업비트 태국과 빗썸은 빗썸 싱가포르와 오더 북을 공유하고 있지만, 법적으로 문제가 없기 때문이다.

왜냐하면 국내 특금법은 국제자금세탁방지기구(FATF)의 권고안에 따라 제정됐으며, 싱가포르는 국내와 함께 FATF의 회원국으로 이미 1년 전에 법이 시행됐기 때문이다.

즉 업비트 싱가포르와 빗썸 싱가포르는 싱가포르 통화청(MAS, Monetary Authority of Singapore)의 허가를 받아 영업 중이며, 이들은 현지 지불 서비스 법(PSA, Payment Services Act)에 따라 라이센스 심사를 거친 거래소다.

이에 비해 비트파이넥스나 바이낸스, 디지파이넥스 등의 거래소는 오더 북을 공유 중인 사업자가 정부 당국에 이들의 사업자 소재지와 합법적인 거래소라는 것을 증명할 수 있는 서류를 제출하지 않으면 속칭 '폭탄 돌리기'처럼 될 수 있어 오더 북을 끊어버렸다.

앞서 언급한 에이프로빗과 플라이빗, 프로비트 코리아 등은 ISMS 인증번호를 획득해 한숨을 돌렸지만, 디지파이넥스 코리아는 이조차 없어 갈 길이 바쁘다는 평이다.

개인정보 보호법에 따른 개인정보 처리방침에 책임자, 담당자, 연락처 없어

국내 암호화폐 거래소 업계의 '개인정보 보호법' 준수는 뒷전에 불과했다. 거래소를 이용하는 고객들의 권익 보호에 최선을 다하고 있다며, 정보통신서비스 제공자로서 개인정보 보호법과 정보통신망법은 안중에도 없는 것으로 나타났다.

지난달 27일 'ISMS 인증 거래소의 개인정보 보호법 실태 조사' 보도 이후 ISMS 미인증과 인증을 준비하는 거래소를 전수 조사, 이들의 개인정보 보호법 위반 사항을 공개한다.

4일 <본지>가 국내에서 영업 중인 암호화폐 거래소 100여 곳을 확인한 결과 14곳이 개인정보 보호법 31조를 위반했다. 이들은 개인정보 보호책임자, 부서 명칭과 전화번호 등을 표시하지 않았으며, 이는 1천만 원 이하의 과태료 부과 대상이다.

1차 점검에 나선 결과 ▲디지파이넥스 코리아 ▲데이빗 ▲체인엑스 ▲비티너스 ▲알리비트 ▲워너빗 ▲지엑스 익스체인지(GX-Exchange) ▲코인제우스 ▲블루벨트 ▲CM 익스체인지 ▲코인투엑스(Coin2X) ▲코인빅뱅 ▲뉴드림 ▲달빗(DARLBIT) ▲비트포인트플러스 등 총 15곳이다.

지난해 구글과 넷플릭스 등의 해외 IT 기업의 개인정보 보호법 위반 사례가 밝혀졌음에도 '강 건너 불구경'을 하고 있던 셈이다.

개인정보 보호법에 따르면 개인정보 보호책임자를 지정하고 제31조에 따라 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처를 공개해야 한다.

문제는 단순한 개인정보 보호법의 과태료가 아니라 이들이 위반한 항목이 ISMS 인증기준의 점검항목이라 겹친다. 즉 ISMS 인증 심사가 진행 중이거나 혹은 준비 중이라면 사업중단이 아닌 이상 ISMS 심사항목에서 문제가 된다.

지난해 11월 한국인터넷진흥원이 공개한 '암호화폐 거래소 전용 ISMS 세부점검항목'에 따르면 월렛 중심의 기술 보안 외에도 '관리체계 수립 및 운영'에 개인정보 보호에 관한 항목이 명시되어 있다.

암호화폐 거래소 전용 ISMS 세부점검항목을 살펴보면 ▲최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? ▲정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가? 등이 관리체계 기반 마련 항목이 부실해 감점 요인이다.

ISMS 인증을 받은 거래소만 실명계좌 발급 심사가 진행되지만, 정작 ISMS 심사와 관련해 개인정보 보호법부터 제대로 지키지 않은 거래소가 속속 밝혀짐에 따라 업계의 현명한 대처가 필요한 시점이다.