"해킹도 당했는데..." 카카오 그라운드X가 '특금법' 규제에서 쏙 빠진 이유

[이성우 기자]

그라운드X가 내놓은 가상자산 지갑서비스 '클립' / 사진 = 그라운드X

가상자산 투자자 보호를 위해 금융당국이 내건 '특정금융거래정보의 보고 및 이용 등에 관한 법률(특금법)' 시행이 본격화된 가운데, 정작 국내 메이저 가상자산 사업자로 손꼽히는 카카오 그라운드X는 사업자 신고 의무가 없는 것으로 확인돼 규제 당국을 향한 우려의 시선이 나온다. 가상자산 거래소 뿐만 아니라 지갑·보관관리업자들도 특금법에 따라 규제를 준수해야하지만, 명확한 기준이 없어 규제를 빗겨간 사업자들이 속속 나오고 있다. 당연히 형평성 논란도 불거지고 있다.

해킹에 뚫린 카카오 그라운드X...특금법 사업자 의무 '無'

24일 관련업계 및 과학기술정보통신부 등 관계부처에 따르면 그라운드X는 가상자산 사업자 신고를 위한 정보보호관리체계(ISMS) 인증을 획득하지 않은 것으로 나타났다. ISMS는 최소한의 보안장치 확보를 위해 정부가 내건 일종의 보안 기준이다. 가상자산 거래소를 운영하는 사업자 뿐 아니라 지갑·보관관리업자 역시 이날까지 특금법에 따라 금융위원회 금융정보분석원(FIU)에 사업자 신고를 마쳐야한다. 이 과정에서 필요한 ISMS도 반드시 확보해야한다.

그런데 카카오 그라운드X는 가상자산 거래소가 아닌데다, 지갑·보관관리업자도 아닌 탓에 특금법 규제에서 벗어나게 됐다. FIU의 가상자산 사업자 신고 매뉴얼을 살펴보면 그라운드X는 지갑서비스를 영위하고 있지만 가상자산 사업자 신고 대상은 아니다. 이게 무슨말일까.

FIU에 따르면 '가상자산 지갑서비스의 경우 사업자가 개인 암호키 등을 보관 저장하는 프로그램만 제공할 뿐 독립적인 통제권을 가지지 않아 매도·매수 교환 등에 관여하지 않는 경우' 가상자산 지갑서비스 사업자에서 제외될 수 있다.

내용이 어렵지만, 쉽게 말해 지갑서비스를 운영해도 이용자의 매도·매수 교환 등에 관여하지 않으면 신고할 필요가 없다는 얘기다. 이같은 특금법의 빈틈 탓에 정작 이용자들이 많이 몰려있는 가상자산 사업자는 관리할 방도가 없는 것이다.

이에 대해 그라운드X 관계자는 "그라운드X는 클립에 키 관리 시스템(KMS)을 연동, 그라운드X조차도 개인키에 접근할 수 없도록 설계돼 가상자산 사업자 신고를 진행할 필요가 없다고 판단했다"고 말했다. 다만 "이후 ISMS가 필요한 서비스를 제공하게 된다면 확보할 것"이라고 덧붙였다. 이에 대해 FIU 관계자는 그라운드X가 가상자산 사업자 신고 대상에 포함되냐는 질문에 "그라운드X가 어떤 서비스를 운영하는지 FIU 측에서 파악하긴 어렵다"며 "신고 매뉴얼에 따라 자체적으로 판단한 것으로 보인다"고 말했다.

문제는 정작 그라운드X가 지난해 말 해킹 공격을 당해 고객 개인정보를 비롯 파트너사의 정보까지 넘겨줬다는 점이다. 특히 클라우드 계정이 뚫린 탓에 여기서 유출된 정보로 2차 피해 우려가 적지 않은데다, 그라운드X가 가상자산을 다루는 사업자인 탓에 금융정보와 결합될 가능성도 제기돼왔다.

이때문에 법조계 일각에선 정부의 애매모호한 규제 정책이 시장의 혼선을 가중시킬 것으로 보고 있다. 투자자 보호를 목적으로 만들어진 특금법이 시가총액 약 3조3800억원에 달하는 가상자산 '클레이'를 발행한 그라운드X를 감독하지 못하는 것이다.

구태언 법무법인 린 변호사는 "새로운 법을 만들었는데 기준을 제대로 제시하지 않는 것은 말이 안된다"며 "특히 현재 특금법은 가상자산공개(ICO)를 금지하고 있지 않고, ICO를 진행한 사업자를 가상자산 사업자가 아니라고 해석할 여지가 있다"고 말했다. 조원희 법무법인 디라이트 변호사 역시 "명확한 기준이 없어 사업자 혼란이 커질 것"이라며 "그라운드X 입장에서는 신고를 하면 금융 당국의 감독을 받아야하니 부담이었을 것"이라고 말했다.

법적으로 문제 없지만...특금법의 본질은 투자자 보호!

이처럼 기준이 애매모호하다보니 비슷한 사업을 하고 있음에도 불구하고 신고를 하는 사업자와 신고를 하지 않는 사업자가 나뉘고 있다. 당연히 형평성 논란이 불거지고 있다. 실제 대체불가능한토큰(NFT) 옥션·마켓과 가상자산 지갑서비스를 운영하는 위메이드의 블록체인 계열사 위메이트트리는 ISMS 인증을 확보하고 가상자산 사업자 신고를 준비 중이다. 위메이트트리가 운영하는 가상자산 지갑 '위믹스' 역시 개인키를 보관하지 않는다.

이밖에도 '페이코인'을 기반으로 가상자산 결제서비스와 지갑서비스를 운영하는 페이프로토콜, 디파이(DeFi) 서비스를 제공하는 델리오 등도 지갑·보관관리업자로 접수를 마쳤다. ISMS 인증을 획득한 총 43개 사업자 중 14개 사업자가 지갑사업자·보관관리업자다.

이상훈 가상자산투자협회 사무국장은 "그라운드X가 가상자산 사업자 신고를 하지 않는 것에는 놀랐지만, 근본적인 문제는 정부의 가이드 라인 자체가 잘 돼 있지 않기 때문"이라며 "명확한 기준이 있어야 형평성이 있는 규제가 될 수 있고, 규제를 하겠다는 원칙만 정해뒀지 세부안이 명확하지 않은 상태에서 시행해 시장에 혼란이 생기고 있다"고 강조했다.

결국 가상자산 거래소의 실명계좌 발급에서도 문제가 됐던 애매모호한 기준이 가상자산 지갑서비스업자와 가상자산 보관업자의 사업자 신고 과정에서도 재발한 셈이다. 이때문에 투자자 보호라는 특금법 도입의 명분도 흐려지고 있다는 분석이 나온다.

최근 신고를 마친 한 사업체 관계자 역시 "저희 회사도 신고할 필요가 없는데 신고했다"며 "사업자 신고에 대한 정확한 기준을 제시한 것이 아니라 신고 매뉴얼에 해당되는 업체는 하라고 했고, 정부가 아직 가상자산 관련 사업을 제대로 파악하지 못하고 있는 것 같다"고 비판했다.

이성우 기자 voiceactor@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>