한국블록체인협회는 최근 자체규제 심사안을 발표했다. 국가적으로 정해진 규제가 없는 상황에서 가상화폐 거래소들에게 보안·이용자 보호 등에 관한 가이드라인을 제시하기 위해서였다.

그런데 발표와 동시에 실효성에서도 문제가 제기됐다. 심사안이 실제로 효과가 있느냐는 점에서다.

일반심사와 보안성 심사 항목 투 트랙으로 진행된 심사안에서는 ▲가상화폐 이용자 보호 등에 관한 규정 ▲가상화폐 취급업자의 금전 및 암호화폐 보관 및 관리 규정 ▲자금세탁행위방지에 관한 규정, 시스템 안정성 및 정보보호에 관한 규정 등이 논의됐다.

문제는 심사 방법에 있다. 보안성 심사의 경우 6월 2일·13일·27일·7월 7일 4차례에 걸쳐 인터뷰를 통해 진행됐다. 실제 현장에서 보안 상황을 점검하고 체크한 것이 아니라 서면 자료와 보안 담당자의 답변으로 심사하고 넘어간 것이다.

가상통화를 저장하는 월렛 관리 부문에 관한 점검항목에서는 '핫·콜드 월렛의 적절한 사용정책'을 권고 하고 있다. 온라인에 연결되지 않는 자산보호 체계인 '콜드월렛'에 자산의 70% 이상을 보유하라는 식이다. 하지만 구체적 내용은 제시되지 않았다.

경희대 한호현 컴퓨터공학과 교수는 "보관한다는 것이 거래소 것을 지키려는 것인지 고객 자산을 지키기 위한 것인지 명확하지 않다"며 "또한 지갑이 해킹당했을 경우 보상 범위에 따라 탄력적으로 운영해야 하는데 일률적으로 제시됐다"고 말했다.

게다가 항목이나 등급이 구체적으로 나뉘어 있지 않은 O·X식 체크리스트다. 때문에 모든 항목을 통과했다고 하더라도 거래소간 보안 편차가 심하다.

예를 들어 '보안 취약점을 점검하느냐'라는 항목에 대해 직접 해커를 스카웃해 소스코드까지 점검을 하는 거래소와 자동화된 프로그램으로 단순 점검하는 거래소가 동일하게 'O(그렇다)'로 평가된다는 의미다.

이 때문에 심사에 참여한 12곳 거래소 모두 한 곳도 빠짐없이 통과했지만 실제 보안이 그만큼 철저한지에 대해서는 의문이 제기된다. 심사를 통과한 거래소 중 대규모 해킹을 당한 곳도 있다.

뉴시스에 따르면 자율규제이기 때문에 강제성도 없다. 이 때문에 협회 회원사 23곳 중에서도 12곳만 심사에 동참했다. 참가하지 않아도 불이익이 없기 때문에 번거로운 규제를 피할 수 있다. 그 밖에도 협회에 가입하지 않은 소형 거래소를 감안한다면 자율규제망을 벗어난 거래소는 더 많을 것으로 보인다.

강제력이 없는 자율 규율로 해결하기 어려운 부분에 대해서는 정부가 규제책을 마련해 대응할 필요가 있다는 지적이 나온다.