웹3.0에선 개인정보보호 보다 개인키 탈취에 더 유의해야

바른 한서희 변호사가 30일 섬유센터빌딩 바른회의실에서 열린 세미나에서 ’가상자산이용자보호법과 웹 3.0 컴플라이언스‘ 주제발표를 진행하고 있다. /사진=바른

법무법인 바른(대표변호사 박재필 이동훈 이영희)은 지난 30일 섬유센터빌딩 바른 회의실에서 '가상자산이용자보호법과 웹 3.0 컴플라이언스' 온·오프세미나를 개최했다고 1일 밝혔다.

이날 세미나는 가상자산 이용보호법에서 규정하는 이용자 보호 강화 흐름을 진단하고, 가상자산사업자 및 웹 3.0 관련 사업자의 입장에서 어떻게 보안 사고에 대처해야 하는지 등 관련 정보를 공유하기 위해 마련됐다.

바른 디지털자산·혁신사업팀장을 맡은 한서희 변호사는 '웹3.0 컴플라이언스' 주제 발표를 통해 가상자산이용자보호법 시행에 따라 가상자산 거래소의 이용자 보호 의무가 강화되고 있다고 설명했다.

가상자산이용자보호법(법) 시행령은 '가상자산사업자는 이용자 예치금을 고유재산과 분리해 관리기관에 예치 또는 신탁해야 하고(6조, 예치금 보호), 위탁받은 가상자산과 동일한 종류와 수량의 가상자산을 실질적으로 보유해야 하고, 80% 이상 자산을 인터넷과 분리해 안전하게 보관해야 하고(7조, 가상자산 보관), 특히 보관업자에게 위탁할 경우 보안기준을 충족해야 하며(7조4항), 위험관리 및 사고 예방에 관한 사항 등에 관한 업무지침을 마련하고, 시스템 안정성과 보안성을 연 1회 이상 점검받으며, 위탁받은 가상자산 전부를 인터넷과 분리해 안전하게 보관해야 한다(시행령 11조 2항)'고 정하고 있다.

여기에 더해 사업자의 임의적 입출금 차단 금지 규정(법 11조)을 둬, 정당한 이유 없이 입출금을 차단할 수 없도록 하면서도 시행령 제17조에서 입출금 차단이 허용되는 정당한 사유를 구체화했다. 정당한 사유로 보이스피싱, 불법 재산이나 자금 세탁행위, 공중 협박 자금 조달행위와 관련이 있다고 의심할 만한 합리적 이유가 있는 경우 등이 있다. 또 사업자가 가격이나 거래량의 비정상적인 변동거래를 상시 감시하고, 이용자 보호 및 건전한 거래 질서 유지를 위한 조치를 취하는 등 이상 거래에 대한 감시의무(제12조)도 명확히 했다. 이상 거래는 '가상자산 가격이나 거래량이 비정상적으로 변동하는 경우, 가상자산의 가격 등에 영향을 미칠 수 있는 풍문이나 보도가 있는 경우, 기타 가상자산시장에서의 공정한 거래 질서를 해칠 우려가 있는 경우'를 의미한다고 시행령 18조에서 규정하고 있다.

한 변호사는 입법을 통한 이용자 보호 의무 강화에 따라 가상자산 비즈니스에서 사업자와 이용자가 유의해야 할 사항을 진단했다. 사업자는 △개인정보와 자산의 탈취에 대비한 시스템 보안이 중요하며, 웹3.0의 관점에선 개인정보보호 보다 개인키 탈취에 각별히 유의할 필요가 있고, △가상자산거래소 시스템상 문제나 전산장애로 주문 처리가 지연된 경우 사업자에게 귀책 사유를 인정하고 있으나, 손해 발생이 입증되지 않으면 배상금액 범위가 작은 만큼 주문 처리 지연 방지를 위한 시스템 설계에 유의해야 하며, △웹3.0 서비스는 개인 키 탈취나 외부 공격을 막고, DEX(탈중앙화 거래소)의 가격 형성 메커니즘에 대한 공격을 막기 위해 지갑에 대한 사전 이력 확인이 더욱 중요하다고 설명했다.

반면 이용자는 △DEFI(탈중앙화 금융)의 경우 해킹위험에 노출될 수 있고 휴대전화 등을 통한 해킹이 가장 많이 위험에 노출되는 경로임을 인지하고 개인키 보안에 유의하며, △DEFI의 경우 가격 조작에 용이하므로 시세조작 위험이 노출되어 있음을 인지해야 하고, △가상자산거래소 전산장애 발생 시 매매하지 못한 것으로 인한 손해배상을 받기 어렵다는 점, △전산시스템 안정성이나 보안 등을 거래소 선택 시 기준점으로 삼아야 한다고 설명했다. 한서희 변호사는 "앞으로 고객 보호나 CS 차원에서 해킹 방지시스템이나 보이스피싱, 사기 등의 경우에 그에 대한 사후적인 CS를 제공하는 경우도 많아질 수 있을 것으로 보인다"고 말했다.

두 번째 발표자로 나선 웁살라시큐리티 김형우 대표는 'SEC 규제를 통해 살펴보는 가상자산 사례분석' 발표를 통해 최근 미국 FBI가 위장 수사를 통해 암호화폐 조작 및 워시트레이딩(wash trading) 혐의로 갓빗(Gotbit) 등 복수의 사업자를 기소한 사례를 소개했다. 이들은 토큰 가격을 부풀려 투자자를 유인한 뒤 판매하는 '펌프 앤 덤프(가격을 인위적으로 상승시킨 후 급매 통해 이익을 챙기는 불법적인 시장조작 수법)'사기 행위를 통해 불법 수익을 얻은 것으로 드러났다. FBI는 지난 10월18일 암호화폐 사기 및 시장 조작에 연루된 18명의 개인과 단체를 기소했는데, 2,500만달러 이상의 암호화폐를 압수했다. 김 대표는 "FBI가 이번 수사를 통해 시장조성자들이 워시트레이딩과 펌프앤덤프 수법을 어떻게 활용하는지 파악하는 등 암호화폐 시장에서 금융범죄를 다루는 데 있어 중요한 선례가 되었다"고 설명했다.

세 번째 발표자로 나선 임주영 안랩 블록체인 컴퍼니 사업총괄 리더는 '사이버시큐리티 관점에서 바라본 가상자산이용자 보호 방안' 주제 발표를 통해 최근 딥페이크를 활용한 로맨스 스캠이 기승을 부리는 등 다양한 사기가 횡행하는 만큼 사업자는 물론 이용자도 각별한 주의가 필요하다고 강조했다. 임 리더는 대안으로 내부 직원 권한을 분산하고, 최소화해 내외부 위협으로부터 이용자 자산이 안전할 수 있도록 조치할 것을 제시했다.

마지막 세션에서 싱가포르 블록체인 전문회사인 헤라랩스(Hela Labs) 커칭 추(kerching choo) 공동창립자 겸 CTO는 '싱가포르에서의 가상자산 규제 및 웹3.0' 주제발표를 통해 최근 싱가포르에서는 리셴룽 전 부총리가 허위투자계획을 홍보하는 딥페이크 동영상이 등장하는 등 딥페이크 사기가 급증하고 있다고 했다. 그는 암호화폐 사기도 급증추세로 2024년 상반기에만 사기피해가 3,330건 이상 보고되었고, 피해액은 1억3,300만달러(약 1,392억원)를 초과했다고 말했다. 싱가포르 정부는 시민보호를 위해 사기전화와 메시지를 차단해주는 앱 '스캠쉴드(ScamShild)'를 배포하는 등 피해예방에 나서고 있다. 특히 올해 4월부터 삼성전자가 싱가포르 과학기술청과 협업해 싱가포르에서 사용되는 모든 삼성전자 기기에 스캠쉴드 앱을 설치하는 양해각서를 체결해 정부와 민간이 공공 온라인 안전을 위해 협력한 사례로 소개했다.

양윤우 기자 moneysheep@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지