[딜사이트 김가영 기자] 은행이 실명확인 입출금계좌 발급을 위해 가상자산 거래소를 심사할 때 해킹이력도 점검할 방침이다. 이에 따라 국내 대형 거래소인 업비트와 빗썸의 존립도 불확실해진 상황이다.

지난 8일 은행연합회는 은행이 각 거래소에 실명계좌를 발급할 때 자금세탁 위험이 있는지 평가하는 데 참고하도록 마련한 '가상자산사업자 자금세탁위험 평가방안'의 내용을 일부 공개했다.

평가방안 필수항목은 '법적요건'과 '기타요건'으로 구성돼있다. 법적요건은 특정금융정보거래법(특금법) 개정안에서 명시한 정보보호관리체계(ISMS)인증 획득, 다크코인(익명성코인) 취급 여부, 금융관련법률위반 이력 등이 포함된다.

문제는 기타요건이다. 기타요건에서는 가상자산사업자의 불법행위, 외부해킹 등으로 인해 사업연속성에 심각한 손상을 초래할 수 있는 사항을 점검한다. 은행연합회가 예시로 든 것은 대표자 및 임직원의 횡령·사기 연루 이력, 외부해킹 발생이력, 당기순손실 지속 여부 등이다.

국내 2대 거래소인 업비트와 빗썸은 모두 대형 해킹사고 발생 이력이 있다. 지난 2019년 업비트의 이더리움 핫월렛에서는 34만2000 개(약 580억원)에 이르는 이더리움이 해킹됐다. 당시 업비트 운영사인 두나무가 보유했던 이더리움 수는 약 2000개였다. 해킹으로 인해 업비트는 당시 자체 보유하고 있던 이더리움보다 훨씬 많은 수량을 탈취당했던 셈이다. 업비트 측은 탈취당한 이더리움을 모두 자체 보유 자산으로 충당했다. 당시 업비트 해킹 사건의 범인은 아직 검거되지 않은 것으로 알려졌다.

빗썸도 마찬가지로 2018년 해킹에 의해 350억원에 달하는 가상자산을 탈취당했다. 당시 빗썸 역시 해킹당한 코인 전량을 회사 소유분으로 충당했다.

만약 은행연합회의 평가기준을 참고해 은행이 계좌발급 심사 시 해킹 이력을 감점요소로 삼을 경우 두 거래소의 존립도 확언하기 어려운 상황이다. 앞서 업비트에 계좌를 발급하고 있는 케이뱅크와 빗썸에 계좌를 발급한 농협은행은 각각  거래소 신고 기간인 오는 9월24일까지 계좌 발급 재계약 결정을 미루기로 했다. 두 은행 모두 지난 수 년간 6개월마다 계약을 갱신했으며, 미뤄진 것은 이번이 처음이다.

해킹 이력이 실명계좌 발급에 악영향을 미칠지는 케이뱅크와 농협은행의 결정에 달렸다. 은행연합회의 평가기준은 각 은행의 의견을 참고해 마련했지만 권고나 강제되는 사항은 아니다. 각 항목별로 어떻게 심사할지는 은행마다 다르다. 다만 해킹이력은 평가항목 중'필수항목'으로 분류된 만큼 심사 시 비중 있게 평가될 것으로 예상된다.

은행연합회 관계자는 "은행마다 수용 가능하다고 판단하는 리스크가 다르며, 은행연합회가 내놓은 평가항목과 은행의 실제 평가 기준은 다르다. 따라서 거래소 해킹 이력이 계좌 발급에 어떤 영향을 미칠지는 알 수 없다"고 설명했다. 다만, "평가항목은 예시로 든 것이나, 은행연합회 기준에서는 필수요건이 충족되지 않으면 그 다음 평가항목인 고유위험 평가, 통제위험 평가 등을 하기 어려울 것으로 전제했다"이라고 설명했다.

고유위험 평가는 국가위험, 상품·서비스의 위험, 고위험 고객 관련 위험 등을, 통제위험 평가에서는 AML 내부통제 수준, 내부감사체계 구축 여부, 고객확인 충실도, 전사위험평가 수행 여부 등을 평가지표로 예시·설명했다. 은행연합회에서는 고유위험과 통제위험 평가를 종합해 위험등급 산정 후, 은행이 거래여부를 결정하도록 제시했다. 필수요건이 충족되지 않으면 고유위험과 통제위험 평가 단계로 넘어가지 않는다는 설명이다.

다만 업비트와 빗썸이 해킹 사고는 각각 2년, 3년 전 일이기 때문에 현재 구축된 보안 시스템의 수준에 따라 평가가 달라질 수 있다. 빗썸은 ISMS를 비롯해, ISO27001(국제표준 정보보호경영시스템 인증)과 BS10012(개인정보보호 관리체계 국제인증) 정보보호 관련 국제 인증을 획득했고 지난 6월에는 정보보호 투자 우수기업으로 인증받기도 했다. 업비트 또한 ISMS와, ISO27001, ISO27017(클라우드 보안표준), ISO27018(개인정보 보호) 등의 인증을 취득했다.