[빗썸 뒤흔든 오너리스크] ⑤ 농협 심사, 이정훈 개인정보유출 유죄 변수될까

① ‘이정훈 리스크’ 또 발목...계좌심사·재판 무관하나
② 좌불안석 농협, 셈법 '복잡'
③ 매각 논의 '골든타임' 놓쳤나
④ 기업가치 1.7조원 증발...비덴트·위지트도 ‘휘청’

이정훈 전 빗썸코리아 의장의 개인정보 유출 유죄 건이 실명계좌 입출금 계정(이하 실명계좌) 심사의 새로운 변수로 등장하고 있다. 특정금융법(이하 특금법) 시행을 근거로 최대주주에 대한 간접규제가 이뤄지는 가운데, 정부가 해킹을 불법행위로 보고 강도 높은 단속을 예고하면서다. 농협의 심사도 한층 강화될 전망이다.

업계에 따르면 농협은 오는 7월 실명계좌 재계약을 앞두고 빗썸에 대한 실사에 돌입했다. 농협은 3월 25일 시행된 특금법 개정안과 은행연합회가 발표한 실명계좌 발급 참고자료(가이드라인)를 근거로 위험평가를 실시할 예정이다.

업계는 이번 평가 심사가 까다롭게 진행될 것으로 내다본다. 은행연합회가 가이드라인에 해킹과 최대주주 평판심사 항목을 명시한 가운데, 정부가 지난 28일 불법행위에 대한 가상자산 특별 단속 방침을 발표했기 때문이다.

특히 심사 과정에서 이 전 의장과 빗썸이 받은 벌금형 이력이 복병으로 작용하는 건 아닌 지 업계의 우려가 크다. 빗썸은 실명계좌를 발급받은 가상자산 거래소 네 곳 중 유일하게 최대주주와 빗썸이 유죄 선고를 받은 곳이다. 그만큼 농협의 부담도 클 수밖에 없다.

지난해 1월 서울동부지방법원 형사2단독(부장판사 이형주) 1심 법원은 이 전 의장과 빗썸에게 개인정보 유출 등 해킹 발생에 책임이 있다며 각각 벌금 3000만원을 선고했다. 법원은 빗썸 측이 제대로 된 보안 프로그램을 갖추지 않은 데다 비정상 접속에도 차단 조치를 취하지 않았다고 지적했다. 심지어 해킹 피해 신고에도 보호조치가 없었다며 3만1000건의 고객정보 유출 건에 대해 실형을 내렸다.

현재 이와 관련해 항소심이 진행 중으로 여전히 리스크가 남아있는 상황이다. 5월 25일 열린 3차 공판에서 재판부는 빗썸의 거래대금이 상당하다며 금융기관에 준하는 보안정책을 검토해야 한다고 질타한 것으로 전해진다.

농협은 이후 두 차례에 걸쳐 빗썸과 실명계좌 재계약을 체결했다. 사실상 해킹 발생에 대해 ‘면죄부’를 준 셈이다. 심사 과정에서 정보보호 관리체계 인증(ISMS) 획득이 제대로 이뤄졌는지에 대한 기술적 검증(정량 평가)과 최대주주와 임원에 대한 평판 심사(정성 평가)를 통과했다는 얘기다.

국내 시중은행에서 자금세탁방지 업무를 담당하는 전문가는 "먼저 은행 정보보호 담당 부서에서 은행 해킹 등에 대한 기술적 검증이 이뤄진다"며 "KISA 등 타 기관이 이미 인증을 했더라도 심사 대상이 정보보호시스템을 제대로 갖추고 있는지 자체 판단을 하는 과정"이라고 설명했다. 농협이 심사 과정에서 상당히 후한 점수를 줬다는 판단이 가능하다. 일정 부분 해킹 관련 리스크를 감수했다는 의미로도 해석된다.

문제는 특금법 시행 이후 상황이 달라졌다는 데 있다. 일각에서는 특금법이 은행으로 하여금 가상자산 거래소의 실소유주를 확인·평가해 심사에 반영하도록 강제했다는 의견도 나온다. 심사 과정에 은행의 재량권이 축소됐다는 설명이다.

특금법 제5조의2는 금융회사 등으로 하여금 일정 사안에 대해 고객 확인의무 등 조치를 취하도록 하고 있다. 해당 조문 1항 ‘나’는 고객을 최종적으로 지배하거나 통제하는 자연인, 즉 ‘실제 소유자’를 명시했다. 이는 시행령 9조2항 제2호와 제4호에 다시 언급돼 있다. 시행령 제10조의18은 실명계좌를 발급할 경우 자금세탁행위와 공중협박자금조달행위의 위험을 식별·분석 평가하도록 했다. 전문가들은 해당 내용을 근거로 가상자산 거래소 심사 과정에 행정규칙인 ‘자금세탁방지 및 공중협박자금조달금지에 관한 업무규정’이 적용된다고 본다. 지침 제41조는 실제 소유자에 대해 신원을 확인하고 검증하기 위한 합리적인 조치를 취하도록 강제하고 있다.

앞서 언급한 전문가는 "해킹과 최대주주 리스크만을 이유로 은행이 실명계좌 발급을 거부하거나 정부가 신고 불수리를 할 수는 없다"면서도 "특금법이 시행되면서 은행의 간접규제 형식으로 심사가 강화된 점에 주목해야 한다"고 설명했다.

개인정보의 중요성이 강화되는 국내외 추세도 간과할 수 없다는 의견도 있다. 해외의 자금세탁방지 전문가는 "해외는 개인정보보호법이 강하기 때문에 이와 관련해 유죄를 받은 경우 거래가 끊길 가능성이 크다"면서도 "각 국가의 법령이나 은행의 내부 지침에 따라 차이가 있다"고 설명했다. 이어 "은행이 얼마나 리스크를 부담할지 결정할 문제"라고 덧붙였다. 정보유출이 발생했는데도 계약을 유지해 자금세탁 발생 위험을 감수하는 것은 은행이 선택할 영역이라는 설명이다.

국내 가상자산 거래소 관계자는 "은행은 실명계좌 발급 심사 과정에서 주주명부 제출을 요구하고 이를 바탕으로 매우 까다로운 검증 과정을 거친다"며 "대부분 가상자산 거래소들은 은행 심사 전에 주주 구성을 투명하고 단순화해 만약을 대비한다"고 말했다.

조아라 기자 archo@chosunbiz.com

기자의 전체기사