[기고]가상자산 이용자 보호 대안은 제3자 수탁 활성화

[정구태 인피닛블록 대표] 지난해 7월 시행된 ‘가상자산 이용자 보호 등에 관한 법률’은 가상자산사업자에게 고객 자산의 실질보유, 분리보관, 해킹 방지 등을 의무화하며, 가상자산 시장의 신뢰 회복을 위한 중요한 출발점이 됐다. 그러나 실질보유 의무의 의미가 ‘사업자 직접 보관’으로 고정될 경우, 중소형 사업자에 과도한 책임을 부과해 오히려 시장 전반의 안전성과 지속가능성을 저해할 수 있다.

이에 따라, 이해관계가 없는 제3자에게 고객 또는 자기 보유 가상자산을 위탁 보관하는 구조를 법적으로 인정하고, 일정 요건 충족 시 실질보유 책임을 간접 충족 또는 면책하는 방안이 타당하다.

정구태 인피닛블록 대표.(사진=인피닛블록)

가상자산 보관 기능은 고도의 기술력과 내부통제, 해킹 방지 역량이 요구되는 고위험 책임 영역이다. 자본시장에서는 이미 고객 자산의 외부 수탁이 일반화돼 있다. 수탁기관의 독립성과 전문성이 투자자 보호의 핵심 인프라로 기능한다. 마찬가지로 가상자산 시장에서도 자체 보관을 원칙화하기보다 커스터디 전문기관을 통한 ‘물리적·거버넌스 분리’가 리스크 최소화와 효율성 증대에 기여할 수 있다.

이러한 주장은 단순한 이론이 아니라 실제 사례에서 입증됐다. 대표적으로 미국 대형거래소 FTX 파산 사태 당시 대부분의 고객 자산은 거래소 내부에서 통합 관리돼 투자자들의 대규모 손실로 이어졌으나, 일부 국가의 고객 자산은 제3자 커스터디 기업에 보관돼 있었다. 이 경우 상당 부분 자산이 복구됐다. 이는 제도적으로 수탁을 분리하고 있었던 싱가포르, 일본 등 관할권에서 두드러졌으며, 위기 상황에서 커스터디의 독립성과 투명성이 투자자의 자산 보호에 실질적 방패 역할을 했다.

올해 초에 발생한 글로벌 대형거래소 바이빗(Bybit) 해킹 사례는 외부 공격이 아닌 내부 거버넌스 체계 미비, 승인 프로세스 취약성, 관리자 권한 집중 등 내부통제 실패가 핵심 원인이었음을 시사한다. 자산의 보관은 단순한 기술적 안전성뿐 아니라, 조직 내 이해상충 방지, 책임 분산, 정보 차단 구조가 수반돼야 실질적 보호가 가능하다. 이러한 구조는 소규모 거래소가 단독으로 구축하기 어렵기에 독립된 제3자 커스터디를 활용하는 것이 현실적이자 효과적인 대응 전략이다.

해외 주요국은 이 같은 방향성을 제도화하고 있다. 미국 ‘FIT21’ 법안은 디지털자산 커스터디 사업자에게 ‘적격 보관인’ 등록을 요구하면서도 거래소와 보관업 겸영을 허용하되 등록 요건을 전제로 한다. EU의 MiCA는 고객 자산의 분리보관과 외부 수탁 허용을 규정하고 있으며, 일본 자금결제법은 외부감사와 자산 구분관리 의무를 통해 자율적 수탁구조를 감독한다. 싱가포르 금융청(MAS)은 내부 커스터디 허용과 함께 외부 수탁 활용의 장점을 인정하고, 정보 차단과 이해상충 방지체계를 규제 요건으로 명시하고 있다. 즉, 대부분의 주요국은 ‘외부 수탁을 원칙화하거나, 내부 보관 시 더 강도 높은 통제를 요구하는 방식’으로 제도적 균형을 도모하고 있다.

이 같은 국제적 흐름은 한국 국회가 준비 중인 가상자산 기본법에서도 반영돼야 할 핵심 방향이다. 특히 중소형 거래소의 경우, 외부 전문 수탁기관에 고객 자산을 맡겨야 한다. 해당 기관이 보안 요건이나 회계적 실질보유 조건을 충족하는 경우에는 거래소에 대해 실질보유 의무를 간접충족허거나 면책하도록 규정을 손볼 필요가 있다. 단지 규제를 완화하는 것이 아니라, 위험기반 접근(Risk-Based Approach)에 따른 효율적 규제 설계이며, 이용자 보호와 산업 육성을 동시에 충족할 수 있는 해법이다.

고객 자산의 외부 수탁은 단순한 운영 대안이 아니라 이해상충 방지, 해킹 리스크 차단, 회계투명성 확보, 파산 시 회수 가능성 보장 등 전방위적 안정성을 제공하는 핵심 제도적 장치다. 거래와 수탁 기능의 분리는 국제적 흐름이며, 이를 기반으로 한국형 실질보유 조건도 보다 유연하게 설계해야 한다. 향후 가상자산 기본법 입법 과정에서는 이러한 구조적 개선방안이 반드시 논의되고 반영돼야 할 것이다.