가상자산 지갑 운영관리 모범사례 ‘지갑 업무는 월렛룸에서’
[IT동아 한만혁 기자] 지난 7월 시행된 국내 첫 가상자산 관련 규제 ‘가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)’은 2단계 법으로 구성된다. 현재 시행된 법률은 이용자 보호에 초점을 맞춘 1단계 법안이며, 가상자산사업자(VASP)에 대한 규제를 담을 2단계 법은 관련 부처 및 금융당국이 세부 사항을 논의 중이다.
아직 2단계 법이 제정되지 않은 탓에 VASP 입장에서 현재 시행 중인 법안은 모호하거나 명확하지 않은 부분이 있다. 이에 디지털자산거래소 공동협의체(DAXA)는 자율규제 일환으로 VASP의 가상자산이용자보호법 준수를 위한 지원 활동을 펼치고 있다. 지난 7월 가상자산 거래 지원 모범사례를 발표했으며, 이상거래 상시 감시 모범규정, 표준 광고 규정, 표준 내부 통제 기준 등을 제정 및 공개했다.
최근 DAXA는 ‘가상자산 지갑 운영관리 모범사례 및 해설서’를 발표했다. 가상자산이용자보호법 제7조에 따라 가상자산사업자(VASP)에게 부여된 가상자산 보관 및 관련 의무를 지원하고 VASP 및 관련 업무 종사자의 이해를 돕기 위함이다. 가상자산이용자보호법 제7조는 이용자 자산 보호를 위해 ▲사업자 고유자산 및 고객 자산의 분리 보관 ▲동종 동량의 가상자산 실질 보유 ▲인터넷과 분리 보관 등에 대해 규정하고 있다.
이번에 발표한 가상자산 지갑 운영관리 모범사례는 ▲인적·물리적 보안 절차, ▲지갑 생성·보유·관리 방안 ▲콜드월렛 내 가상자산 출금 절차 등의 내용을 담고 있다. 또한 해설서는 모범사례 내용을 보다 구체화해 예시와 절차 등을 설명한다.
모범사례에 따르면 VASP는 3인 이상 담당자에게 월렛룸 접근, 금고 개폐 및 지갑 사용, 출금 내역 감시 및 잔고 일일 대사 등의 역할을 분리 및 할당해야 한다. 담당자의 권한 오남용을 방지하기 위함이다.
월렛룸은 개인키를 보관 및 사용하기 위한 업무 공간이다. 월렛룸에서는 지갑 생성, 가상자산 출금 등 최소한의 업무를 수행한다. 모든 작업 과정은 가상자산 지갑의 접근 및 출금 업무에 관여하지 않는 자가 감독 및 기록한다. VASP는 월렛룸을 일반 사무공간과 분리하고, CCTV, 방화벽, 출입 통제 장치 등을 설치해 비인가자의 접근을 차단한다. 월렛룸 내부에는 작업에 필요한 최소한의 비품만 비치하고, 업무를 수행하는 PC, 노트북 등 장비의 외부 반출은 제한한다.
가상자산 지갑은 사전 검토, 승인 절차 등을 거쳐 안전한 암호화 알고리즘을 활용해 직접 생성한다. 또한 VASP는 이용자 가상자산의 동종 동량 보유 여부를 매일 확인한다. 외부 지갑 서비스를 사용하는 경우에도 VASP가 지갑 생성, 보관, 관리 등의 권한을 직접 수행한다. 이를 직접 수행하기 어렵다면 외부 지갑 서비스 사업자가 충분한 보안 기준을 갖추고 있는지 연 1회 이상 평가한다.
VASP는 가상자산 지갑 관리를 위해 출금 거래 승인 및 접근 통제 절차를 운영하고, 개인키 유출·도난·분실 등 사고 예방을 위한 보안대책을 수립한다. 다중 서명, 지갑 및 노드 서버 분리, 노드 서버 이중화 등을 통해 콜드월렛 보안 수준을 강화하고 입출금 거래 안정성을 확보한다.
VASP는 가상자산 출금을 위해 콜드월렛 출금 한도, 사전 등록 주소 확인, 사전 승인 절차 등을 마련해 출금 거래를 통제한다. 가상자산 종류, 수량, 송수신 지갑 주소, 사유 등의 내용을 포함한 작업계획서를 작성해 책임자에게 보고하고 승인 후 진행하고, 작업 감독자는 수신 주소 등이 화이트리스트 주소 및 작업계획서와 일치하는지 재확인한다. 또한 개인키가 인터넷 환경 등에 노출되지 않도록 오프라인 단말기에서 전자서명을 수행한다.
이번에 발표한 가상자산 지갑 운영관리 모범사례는 감독 당국 지원 아래 DAXA 및 23개 국내 VASP가 공동으로 제정했다. 감독 당국이 상반기 진행한 현장 컨설팅 결과를 기반으로 실제 VASP의 가상자산 보관 및 관리 실태를 고려했으며 3회에 걸친 의견 수렴 과정을 거쳐 최종 제정했다.
DAXA는 “가상자산 지갑 운영관리 모범사례는 최소한의 내부통제 기준을 제시한 자율규제로, 각 VASP가 내규, 시스템 등에 반영해 시행할 예정”이라며 “각 VASP가 가상자산이용자보호법상 의무를 이행하는데 기여할 것으로 기대한다”라고 전했다.
글 / IT동아 한만혁 기자 (mh@itdonga.com)