법인의 가상자산 시장 진입을 앞두고 주요 가상자산 업체들의 해킹 사고가 잇따르면서 업계의 보안 강화를 요구하는 목소리가 크다. 가상자산 거래소나 수탁 업체 등이 다루는 자금의 규모가 급증하는 만큼 이를 노린 외부 해킹 시도나 내부자의 횡령 사고가 발생할 위험이 높다는 지적이 나온다. 법인 시장 선점을 위한 수수료 경쟁이 내부통제·보안 여력을 갉아 먹는 출혈 경쟁으로 이어지지 않도록 경계해야 한다는 우려도 나온다.

10일 블록체인 분석 업체 체이널리시스의 ‘2025년 가상자산 범죄 보고서’에 따르면 지난해 가상자산 해킹으로 도난당한 자금은 전년 대비 21% 넘게 증가한 22억 달러(약 3조 1979억 원)에 달하는 것으로 나타났다. 해킹 공격의 주요 표적도 기존 탈중앙화금융(DeFi·디파이)에서 가상자산 거래소(CEX) 등 중앙화 서비스로 옮겨갔다고 분석했다. 실제로 지난해 인도 주요 가상자산 거래소 와지르엑스가 3000억 원이 넘는 해킹 피해를 입은 데 이어 세계 2위 규모의 거래소 바이비트가는 최근 2조 원 규모의 가상자산을 탈취당한 바 있다.



이에 국내 법인의 가상자산 투자를 앞두고 이들 자금을 취급할 거래소와 수탁 업체의 보안 역량에 대한 우려가 제기되고 있다. 국내 업체들의 경우 법인·기관 투자자에 비해 작은 규모의 개인 투자자 자금만을 관리해왔기에 위험성이 더욱 크다는 지적도 나온다. 황석진 동국대 국제정보보호대학원 교수는 “세계 2위 거래소 바이비트 해킹 이후 새로운 먹잇감을 찾고 있는 해커들이 법인 자금 유입으로 가상자산 거래·보관 규모가 훨씬 커진 국내 업체들을 노릴 가능성이 있다”며 “가상자산사업자(VASP)의 경우 ISMS 보안 인증을 취득하도록 하고 있긴 하지만, 해킹 수법은 계속해서 빠르게 고도화되고 있기 때문에 이 인증만으로는 보안 수준이 충분히 검증됐다고 보기 힘들다”고 지적했다.

외부로부터의 해킹 공격뿐 아니라 내부 통제 리스크도 크다. 최근 국내 업체들은 법인 투자자 진입을 앞두고 인력을 많게는 2배 넘게 증원하며 내부 통제가 더욱 어려워졌다. 가상자산 시장의 경우 기존 금융권과 달리 운영 주체가 특정되지 않는 탈중앙화 서비스가 많기 때문에 내부자 횡령과 같은 사고가 나도 즉각적인 자금 동결이 불가능하다. 토네이도 캐시 등 믹싱 서비스를 통한다면 신원 확인도 힘들어진다. 한 업계 관계자는 “가상자산 업체들이 법인 자금을 취급할 경우 가장 우려되는 지점이 내부자 횡령"이라며 “당국 역시 이를 우려해 가상자산사업자들에 내부통제 시스템 강화와 관련 인력 충원을 권고하고 있는 것으로 보인다”고 전했다. 김병환 금융위원장은 7일 민당정 간담회에서 “가상자산사업자들이 내부 통제, 자금세탁방지, 투자자 보호 등에 있어 한 단계 높은 시스템과 역량을 자체적으로 갖춰야 한다”고 강조했다.

일각에선 법인 시장 선점을 위한 맹목적인 수수료 인하 경쟁을 경계해야 한다는 목소리도 나온다. 사실상 모든 매출이 수수료 수입에서 나오는 거래소·수탁 업체들의 경우 수수료 수입 감소는 자연스럽게 보안 비용 절감으로 이어질 것이라는 판단에서다. 가상자산 거래소들은 앞서 거래 수수료를 전면 무료로 하는 이벤트를 잇따라 펼치면서 출혈 경쟁을 벌인 바 있다. 최근 수탁 업계에서도 일부 후발 업체들이 점유율 확보를 위해 기존 경쟁사들보다 낮은 수수료를 책정하는 등 유사한 움직임이 포착되고 있다. 한 업계 관계자는 “가상자산 업체들이 금융기관 수준의 보안·내부통제 수준을 갖추기 위해선 기술 인프라 구축, 관련 인력 채용과 보험 가입 비용 등에 상당한 비용을 써야 한다. 인력 10명 수준의 소규모 업체들마저 1년에 억 단위가 넘어가는 비용을 들이는 분야"라며 “가상자산 업체에 대한 자본금 규제가 없는 상황에서 충분한 자본금을 갖추지 못한 업체들이 수입을 깎아 수수료 경쟁을 펼치는 것은 보안 사고 대비 측면에서 매우 위험하다"고 지적했다.

김정우 기자

woo@sedaily.com