리뷰10K

특금법 KYC(고객 확인), 트래블 룰 위반 덜미

델리오 18억 9,600만 원 vs 한빗코 19억 9,420만 원.

고팍스에 이어 6대 원화마켓 거래소로 입성, 국내 바스프 업계의 메기처럼 움직이려는 한빗코가 잠시 멈췄다. 실명 계좌없이 코인마켓으로 생존 게임에 내몰렸던 한빗코도 결국 특금법 디버프로 원화마켓 문턱 앞에서 미끌하고 말았다.

업계는 델리오보다 과태료가 많았다는 점과 현재 코인마켓을 운영 중인 사업자로 영업정지라는 제재까지 내려질 경우 한빗코를 이용하는 홀더의 분노를 감안, 약 20억 원 규모의 과태료로 일단락한 것으로 보고 있다.

한빗코는 델리오와 달리 한빗코코리아가 특금법에 따라 ISMS 인증과 AML이라는 철옹성을 쌓았음에도 시기가 좋지 않았다. 금융 당국의 현장 심사에서 문제점을 노출했고, 특금법에 명시된 고객 확인(KYC)과 트래블 룰 의무 위반이 치명적이었다.

이들은 특금법의 취지가 이른바 돈세탁을 막기 위한 법이자, 국제자금세탁방지기구(FATF)의 권고안에 따라 시행된 탓에 글로벌 스탠다드 규격에 맞춰 특금법-시행령-감독규정 등 현행 법령을 위반한 게 명백하기 때문이다.

일각에서는 트래블 룰 위반을 두고 국내 양대 솔루션 코드와 베리파이솔루션에 소속된 바스프까지 제재 대상에 포함될 것인지 예의주시하고 있다. 실제 특금법에 따라 트래블 룰 얼라이언스에 가입했지만, 정작 특금법에 따라 신고와 수리, 심사를 거쳐 라이센스 방식으로 영업해야 함에도 불법 영업이 판치고 있기 때문이다.

단순히 홈페이지에 한글을 지원하지 않고, 국내 신용카드로 결제할 수 없어도 텔레그램, 블로그, 유튜브 등 각종 SNS의 추천인 마케팅을 공격적으로 진행하는 꼼수 영업을 강행하고 있어 사각지대로 분류된다.

금융당국은 델리오 이후 사회적 파장을 고려, 바스프 업계를 상대로 무관용과 일벌백계를 고수한다. 보통 당근과 채찍이 같이 움직이기 마련이지만, 암호화폐라는 부정적 이미지를 고려해 '다음은 없다'는 경고의 메시지를 시장에 보내고 있다.

3일 금융 당국에 따르면 한빗코는 특금법과 시행령을 위반했다. 앞서 언급한 KYC와 트래블 룰은 바스프(가상자산사업자)에게 AML 책무다. 단순한 의무가 아니라 책임까지 요구, 송곳 규제로 무장한 특금법과 내년에 시행될 가상자산법까지 '육성 없는 오로지 규제'만 존재한다.

국내 거래소 업계가 마주한 현행 법령은 특금법이 아니라 이면에는 공중 등 협박목적 및 대량살상무기확산을 위한 자금조달행위의 금지에 관한 법률(테러자금금지법)로 자금세탁을 막기 위한 사법 시스템이 존재한다.

특히 테러자금금지법을 비롯해 마약거래방지법과 범죄수익은닉규제법도 계속 언급하는 자금세탁방지 시스템의 축이다. 단지 특금법이 바스프 업계를 상대로 밀접하게 감시하는 파수꾼 역할에 불과할 뿐, 실질적으로 법 집행기관 10곳과 거래(이상, 특정금융) 내역이 공유되는 식이다.

그 10곳은 ▲국정원 ▲행안부 ▲공수처 ▲선관위 ▲관세청 ▲국세청 ▲해양 경찰청 ▲경찰청 ▲검찰청 ▲금융위 등이다. 즉 한빗코의 특금법 위반은 자금세탁방지 시스템이 작동하기 전에 금융위가 관리감독 기구에서 할 수 있는 최고의 징계로 마무리한 것이다.

혹자는 트래블 룰 위반했다고, 200명도 되지 않은 KYC와 150여 명의 거래 제한을 하지 않은 게 원화마켓 심사까지 날려버릴 만큼 중대안 사안이냐고 묻는다.

해당 질문에 대한 대답은 현재 한빗코가 취급하는 암호화폐가 테러 자금이라면 특금법은 장난이라고 반문할 수 있겠다. 예를 들면, 특금법이나 일본의 자금 결제법, 싱가포르의 결제 서비스 법 등이 바스프를 규제하고, 관련 사업보다 육성보다 규제로 틀어막으려는 시도가 '암호화폐는 위험하다'는 시각에서 출발했기 때문이다.

하지만 암호화폐만 그칠까, 몇 년 전 국제자금세탁방지기구에서 언급된 NFT, 스테이블 코인, 덱스(DEX), 디파이도 암호화폐와 같은 규제가 필요하다는 데 회원국이 뜻을 같이 했으며, 현재도 진행 중이다.

Same business, Same risk, Same rule. 시쳇말로 이러한 규제 빌드업이 암호화폐로 그칠 것인지 다른 사업군에도 적용될지는 아무도 모른다.

그럼에도 이번 조치가 한빗코에게 한 단계 나아갈 수 있는 성장통이 되기를 바란다.

이용약관과 배치된 '특수한 상황' 탓에 발생한 입금 사고

지난 15일 6개월의 침묵을 깬 업비트의 상장 메타가 시작된 날에 발생한 폴리곤(MATIC) 오입금 사고를 두고 뒷말이 무성하다. 애초에 거래소가 불가능한 사안을 두고 상장 당일 최고가의 70%의 보상안 요구가 무리수라는 지적과 업비트 측이 정확하게 안내하지 못해 발생한 사고라는 의견이 분분하다.

이러한 상황에서 업비트의 폴리곤 오입금 사고는 보름이 되어가는 시점에 복구 불가에서 복구 시도와 사고 수습으로 가닥을 잡히면서 성난 여론도 잠잠해졌지만, 거래소 업계 일각에서는 '나쁜 선례'가 만들어져 오입금 사고는 100% 복구해야 한다는 여론이 만들어져 관계자 사이에서 업비트를 향한 불만도 쏟아진다.

◆ 업비트 약관과 배치된 사고 수습, 복구 불가로 고지했어야
익명을 요구한 거래소 관계자는 "제대로 설명을 하지 못했다는 도의적인 책임을 논할 수 있지만, 거래소마다 정해진 오입금 사고에 따라 복구할 수 없는 사안이 존재한다"라며 "복구 불가 사안을 시도해보겠다는 취지 자체는 공감하지만, 선두 거래소가 그렇게 하면 나머지 거래소도 따라 해야 되는 건가"라고 반문했다.

또 다른 거래소 관계자는 "2차 주소(트랜잭션 아이디나 데스티네이션 태그, 메모) 등을 잘못 입력하거나 코인 티커를 입력하면서 실수했다면 '복구 수수료' 가이드라인에 따라 복구할 수 있다"라며 "거래소에 보내는 과정에 도중에 잃어버리고, 거래소한테 보상을 하라고 하면 어떻게 하냐"고 말했다.

업비트는 이용 약관과 공지사항, FAQ 등에 오입금 사고 유형과 책정된 수수료를 안내한다. 그래서 이번 폴리곤 오입금 복구건은 업비트 이용 약관과 완전히 배치(背馳)돼 복구 불가 사유다. 그럼에도 업비트는 폴리곤 재단과 협의를 거쳐 진행하겠다는 '조건부 복구 시도'로 성난 투자자들의 투심 달래기에 나서면서 거래소 업계 관계자들도 업비트를 향한 의혹의 눈초리를 보내고 있다.

국내 암호화폐 거래소 업계는 오입금 입금 사고와 관련해 복구 수수료와 처리 기간과 횟수 등을 안내하고 있지만, 이를 간과하고 입금을 시도하는 경우가 별도의 사례로 분류할 정도다. 그래서 거래소의 데모 거래 기능 지원을 요구하거나 출금해서 전송하는 과정에서 '전송 취소' 기능을 구현해야 한다는 이야기가 나온다.

하지만 거래 취소나 되돌리기 기능을 구현한 거래소는 드물고, 관련 커뮤니티에서 현실적으로 세작과 정찰병으로 부르는 소액으로 전송해 '전송 완료'를 확인한 이후에 거래하는 것을 권장하고 있다. 한 번에 모든 물량을 전송하는 것이 아니라 입금 처리를 확인한 이후에 실제 물량을 전송하라는 게 기본이라고 말한다.

국내 암호화폐 시장에 입성하지 않는 프로젝트가 국내 거래소에 상장될 때 김치 프리미엄을 노린 보따리가 시작되는데 이 때 주의할 점은 입금을 지원하는 네트워크(프로젝트 메인넷, ERC20)을 확인 작업이다.

특히 바이낸스는 '바이낸스 스마트 체인(BSC)'라는 거래소 독자 체인을 사용하고, 주소가 같더라도 BSC 기반의 이더리움과 이더리움 기반의 이더리움 클래식 등을 확인해야 할 정도로 전송할 때 주의사항은 많다. 이를 확인하지 않으면 말 그대로 네트워크 상에 코인을 전송, 그냥 허공에 버리는 것과 같다.

그래서 상장 당일 레이스를 통한 보따리가 물거품이 되지 않으려면 국내외 거래소와 지갑 전송 시 신중할 수밖에 없다. 다만 이번 폴리곤 사고는 업비트의 안내가 제대로 되지 않았다는 주장에 힘을 실리면서 일부 투자자들의 등살에 떠밀려 복구 시도에 나섰다는 게 업계 관계자들의 전언이다.

◆ 日 암호자산 업계도 일부만 복구
화이트 리스트 코인만 취급하는 일본 암호자산 업계도 오입금 복구 사고는 빈번하다. 대신 전단지 수준으로 거래소 홈페이지 곳곳과 블로그, 트위터, FAQ, 고객센터 등에 오입금 복구에 대한 항목을 배치했다. 

물론 국내와 마찬가지로 이더리움은 이더스캔, 이더리움 클래식은 블록 스카우트, 테조는 블록체어, 폴카닷은 폴카스캔, 리플은 XRP 스캔 등에서 1차 확인을 유도하고 있다. 특히 리플(XRP)은 수신자 태그, 넴(XEM)은 메시지, 스텔라 루멘(XLM)은 메모 입력이 필수다. 

비트플라이어, 코인체크, 리퀴드 바이 쿠오인 등에 따르면 수수료는 전송 물량의 10% 혹은 5만 엔(한화 50만 원) 중에서 낮은 금액으로 책정하거나 승인 횟수 제한 등으로 오입금 사고를 대처하고 있다. 

대신 면책사항에 '잘못된 주소로 전송된 토큰을 모두 복구할 수 있는 것은 아니다'라는 문구를 표기해 복구 사안에 대한 처리 기간과 수수료를 설명할 뿐 그 외 사항은 복구 불가를 내세워 양해를 구한다.

리퀴드 바이 쿠오인 관계자는 "오입금 복구 처리는 처리 시간과 난이도, 네트워크 비용 등을 고려해 토큰이 어디로 갔는

지에 따라 확언할 수 없다"라며 "길게는 몇 달 정도의 시간이 걸리더라도 복구할 수 없는 경우가 있어 원상 복구를 보장하지 못한다"고 말했다.

이는 국내 거래소 업계도 마찬가지로 비트코인과 이더리움 계열, 상장 여부, 거래소-지갑 전송 여부, 상장과 상장 폐지 여부 등으로 구분해 수수료와 처리 기간을 명시했다.

국내 거래소 업계에 따르면 ▲업비트, 10만원 / 5일 ▲빗썸, 20만원 / 월 1회 ▲코인원, 10만원 / 30일 이내 ▲코빗, 최대 10만 원 ▲지닥, 10만원 상당 USDT ▲고팍스, 30만 원 / 매월 마지막 수요일 ▲한빗코, 수량의 10% / 최대 30일 등이다.

단 거래소가 처리할 수 있는 항목만 해당하며, 그 외는 복구 불가로 안내한다. 

복구 수수료가 다른 이유에 대해 업계 관계자는 "네트워크 수수료와 채굴 수수료는 다들 비슷하지만, 전문 인력의 숙련도에 따른 처리 시간, 인건비 등이 달라 수수료가 다르다"며 "빠른 시간에 처리를 원한다면 복구 수수료가 높아질 수밖에 없고, 거래소마다 복구비용과 시간이 달라 수수료도 다르다"고 말했다.

현재 업비트 측은 폴리곤 오입금과 관련해 재단과 협력해 수습 중이라고 밝혔지만, 정작 중요한 복구 수수료를 언급하지 않아 또 다른 파장이 예상돼 향후 귀추가 주목된다.

2020년 1월에 폐업한 거래소도 '브랜드평판' 데이터에 노출
정상적으로 영업 중인 애꿎은 거래소만 피해, 거래소 브랜드 타격 불가피

지난 3월 특금법 시행 이후 거래소의 ISMS 인증 획득, 실명계좌 발급, 오더북 공유 등이 거래소의 생존조건으로 떠오르는 가운데 일부 미디어를 대상으로 배포된 '가상화폐 거래소 브랜드 평판'에 심각한 결함이 있는 것으로 나타났다.

예를 들면, ISMS 인증을 받고 실명계좌 발급 심사가 준비 중인 거래소가 '브랜드 평판'에서 폐업한 거래소보다 뒤에 밀린 것도 모자라 1년 가까이 폐업한 거래소가 데이터로 추출되고 있었던 것.

31일 관련 업계에 따르면 한국기업평판연구소는 매달 가상화폐 거래소 30곳의 빅데이터를 분석, 미디어를 통해 기사화되고 있다. 하지만 이면에는 연구소 측이 수집한 빅데이터에 폐업과 사업 중단 등의 정상적으로 영업할 수 없는 상황에 있는 거래소도 브랜드 평판 리스트에서 집계되고 있었다.

<본지> 와치독 팀이 한국기업평판연구소에서 제출하는 1년 치 '가상화폐 거래소 브랜드 평판'을 전수 조사한 결과 추출되는 데이터가 문제가 있음을 확인했다.

일례로 한국기업평판연구소의 ▲브랜드 평판 16위 업사이드는 지난해 9월 폐업 ▲22위 코인이즈는 2020년 1월 폐업 ▲27위 코인제우스는 거래소 사업 중단 후 지갑 서비스로 사업 전환 ▲29위 네임빗은 아이빗이엑스로 브랜드 변경 등이다.

문제는 이들 사이에서 정상적으로 영업 중인 플라이빗, 디지파이넥스 코리아, 한빗코, 에이프로빗 등의 거래소는 페업한 거래소보다 못한 취급을 받으며, 하위권에 집계된 시기가 오랜 시간이 흘러 브랜드 이미지가 실추돼 현재 진행 중인 '실명계좌 발급심사'에 심각한 영향을 받고 있다는 점이다.

특히 한빗코를 제외한 3개 거래소는 특금법의 오더북 공유 금지 조항에 따라 글로벌 암호화폐 거래소와 제휴를 파기, 실명계좌 발급 심사에 필요한 제반 요건을 갖추기 위해 ISMS 인증번호 획득 이후 금융권과 실명계좌 발급 심사에 필요한 미팅 기회조차 사라져 후폭풍이 우려되는 상황이다.

오는 9월 기존 사업자의 신고수리 서류 접수를 준비 중인 상황에서 미디어를 통해 브랜드 평판 순위에서 하위권으로 기록, 암호화폐 관련 커뮤니티에서 먹튀 거래소 리스트에 이름이 올라가면서 진땀을 흘리면서 해명에 나섰다.

한국기업평판연구소 관계자는 "이전까지 수집된 알고리즘을 수정, 오는 6월부터 정상적인 데이터를 기반으로 리포트를 공개할 것"이라고 해명했다.

시정조치 명령 위반 시 과태료 300만 원, 사후심사 거부로 취소될 수도 있어

고팍스와 한빗코가 정보보호 관리체계(ISMS) 인증 표시를 위반한 것으로 나타났다. 국내 암호화폐 거래소가 ISMS 인증에 열을 올리는 사이 이미 획득한 거래소들의 사후관리가 제대로 이뤄지지 않고 있다는 지적이다

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)의 사후심사 불이행으로 시정조치 명령과 위반시 과태료 부과 대상이며, 심사 거부는 ISMS 취소 대상이다.

5일 암호화폐 업계에 따르면 고팍스와 한빗코는 홈페이지 하단에 ISMS 인증 마크를 표시하면서 '인증 범위와 유효기간'을 생략했다. 8월 기준 국내에서 영업 중인 암호화폐 거래소 중 ISMS 인증번호를 보유한 곳은 고팍스, 업비트, 코빗, 빗썸, 코인원, 한빗코 등 6곳 중에서 2곳이 현행법을 지키지 않고 있다.

정보통신망법에 따르면 대통령령으로 정하는 바에 따라 ISMS 인증의 내용을 표시하거나 홍보할 수 있다. 예를 들면, 인증을 받은 시점 이후부터 업체에서 배포하는 보도자료 배포와 인터뷰를 통한 언급 등 홍보 활동을 할 수 있다.

해당 사업자는 인증 획득 후 마크표시 의무가 없지만, 표시해야 한다면 현행 법 제32조와 제34조에 따라야 한다.

<본지>가 거래소 6곳을 확인한 결과 빗썸과 코빗은 인증을 받았지만, 마크를 표시하지 않았다. 업비트는 마크를 클릭하면 '인증서' 화면을 PDF 파일로 노출하며, 코인원은 액션으로 인증 범위와 유효기간을 표기했다.

KISA에 따르면 고팍스와 한빗코의 인증범위는 각각 암호화폐 거래소 운영(GOPAX), 암호화폐 거래소 서비스(한빗코) 운영(원화거래 제외, 심사받지 않은 물리적 인프라 제외)을 표기해야 한다. 코인원은 암호화폐 거래소 운영(코인원)으로 인증범위와 유효기간을 표시했다.

KISA 관계자의 말을 종합하면 고팍스와 한빗코는 빗썸과 코빗처럼 표기하지 않거나 코인원처럼 마크의 액션 효과로 표시해야 한다고 설명했다.

KISA 관계자는 "시정조치 명령 대상이다. 절차에 따라 명령 위반 시 과태료가 부과되며, 2차 시정조치 명령을 내린다. 조만간 인증표시 위반과 관련된 내용을 통보할 것"이라고 말했다.

시빅(CVC), 기프토(GTO), 아이젝(RLC), 캐시(QASH) 상폐

지난달 에이치닥(HDAC) 상장 폐지 이후 침묵하던 한빗코가 몸집 줄이기에 나선다. 지난 5일 특금법 통과 후 국내 거래소 업계의 상장 폐지 러시가 이어지는 가운데 한빗코도 수익성이 떨어지는 알트코인 쳐내기에 나선 것.

18일 한빗코에 따르면 시빅(CVC), 기프토(GTO), 골렘(GNT), 아이젝(RLC), 캐시(QASH) 등 5종의 프로젝트를 BTC 마켓에서 상장 폐지했으며, 오는 31일 오후 4시까지 출금 서비스를 지원한다.

지금까지 국내 4대 거래소의 범주에 들어가지 못한 한빗코는 빗썸이나 업비트의 상장 폐지와 달리 보수적인 입장을 취했다. 다른 중소형 거래소와 달리 상장과 상폐 남발 대신 스테이킹 서비스에 집중, 체질 개선에 집중해 특금법을 대비했다.

이번 상폐 이면에는 '마켓 수익성 부족'이라는 이유를 내세웠다. 한빗코는 지난해 3월 수수료를 0.1%로 인상하기 전까지 업계 최저 수수료 0.05%를 유지, 상대적으로 거래쌍이 적어 열세에 몰렸다는 평가를 받았다.

3월 상폐 리스트에 포함된 골렘은 베이직 어텐션 토큰(BAT)과 어거(REP)와 함께 이더리움 기반 토큰 1세대로 통한다. 암호화폐 시가총액 350억 원 규모로 89위에 랭크, 글로벌 3대장 바이낸스-OKEx-후오비에서 거래 중인 프로젝트다.

비록 빗썸에서 상폐 경고까지 받았지만, ZB.COM과 OKEx의 USDT 방어선으로 전체 거래량 50%를 소화하고 있어 상폐 영향은 없다.

또 시빅이나 기프토, 아이젝이나 캐시도 마찬가지다. 상폐 이전 한빗코의 소화량이 1%도 되지 않을 정도로 거래소의 존재감이 미미했다. 

그러나 상장 폐지를 명목으로 수익이 나지 않는 상장 프로젝트 퇴출은 이어질 전망이다. 알트코인의 수명이 다해 사라지는 것이 아닌 거래소의 수익이 없어 정리해 특금법 통과에 준비하는 거래소가 많아지고 있기 때문이다.

특히 한빗코는 ISMS 인증을 획득했지만, 실명 계좌 발급이 시급한 상황에서 불필요한 프로젝트를 정리해 알찬 거래소로 평가받겠다는 의도로 풀이된다.

업계 동업자 의식 형성해 실시간 모니터링으로 동결 조처

업비트 580억 해킹 사태로 국내 암호화폐 거래소 업계가 긴장하고 있다. 글로벌 암호화폐 거래소 바이낸스가 해킹 이더리움을 원천 차단하겠다고 공표한 이후 국내서 영업 중인 거래소들도 보안 강화에 나서고 있다.

특히 업비트를 포함한 국내 4대 거래소는 모니터링과 보안 강화와 자산 관리를 위한 보안 솔루션을 설명, 불안한 시장을 잠재우기 위해 동참하고 있다.

28일 빗썸, 코인빗, 코인원 등에 따르면 자산 보관·관리 안내와 함께 업비트에서 유출된 이더리움을 실시간으로 모니터링하고 있다.

코인빗 관계자는 "입금되는 모든 코인에 대해 핫월렛이 아닌 콜드월렛에 99% 이상 보관하여 운영 중이다"라며 "이번 업비트 사태에 적극 협조해 입금을 철저히 감시할 것"이라고 말했다.

코인원 관계자도 "이상출금과 관련된 주소에 대해 모니터링 중이며, 의심거래에 대해서도 암호화폐 자동출금제한 조치를 취하고 있다"며, "불법 자금 유출을 사전에 방지하기 위해 실시간 모니터링을 진행 중이다"라고 말했다.

한빗코는 자산 70% 이상을 콜드월렛에 보관 중인 암호화폐는 임직원 다수의 승인으로 가능하다는 것이 회사 측의 설명이다.

비트소닉 측은 내부 지갑 시스템 모니터링 외에도 문제가 야기된 이슈 지갑 또한 철저하게 모니터링을 진행하고 있다고 설명했고, 유아이오는 업비트 사태로 이더리움 입금을 무기한 중단했다. 

후오비 코리아 관계자는 "현재 해당 이상 거래 자금에 대한 모니터링이 진행 중이며, 후오비 코리아로 입금 시 동결 조처함은 물론 해당 거래소에 적극적으로 협조할 것"이라고 말했다.