[디지털데일리 신현석기자] 최악의 해킹사고를 다시 겪은 국내 암호화폐거래소 빗썸에 관심이 쏠리고 있다. 빗썸은 지난 19일 밤부터 20일 새벽 사이 약 350억원 규모의 암호화폐를 탈취당했다고 밝혔다.

빗썸은 그간 회사의 지배구조가 명확히 드러나지 않아 이에 대한 의구심이 많았던 거래소다. 빗썸의 실세를 두고 그동안 시장에선 게임 아이템 업체 전 대표, 국내 유명 연예기획사 대표, 국내 언론사 대표 등이 거론돼왔으나 아직 명확히 밝혀진 바는 없다.

올해 초엔 매각설이 수면 위로 오르면서 다시 빗썸 실소유주에 대해 관심이 쏠렸다. 당시 넷마블게임즈가 빗썸을 1조원에 인수한다는 소문이 돌기도 했다.

빗썸의 운영사 비티씨코리아닷컴의 최대주주인 ‘비티씨홀딩컴퍼니(전 엑스씨피)’의 주주 구성도 베일에 싸여 있다. 작년 말 비티씨코리아닷컴의 지분 구조는 비티씨홀딩컴퍼니 75.99%, 비덴트 10.55%, 옴니텔 8.44% 등이다. 비티씨코리아닷컴과, 비덴트, 옴니텔이 순환출자 구조로 복잡하게 물고 물려 있기 때문에 실소유주 등 실체를 파악하기 어려운 구조다.

올해 4월 비티씨코리아닷컴이 기타법인 자격으로 전자공시시스템에 감사보고서를 올리면서 빗썸의 실체가 어느 정도 드러날 것이란 기대감이 있었다.

그러나 결론부터 말하면 이 보고서 역시 빗썸이 재무회계 개념체계에 따라 나름의 회계정책을 적용했다는 점에서 한계가 있다고 볼 수 있다. 현재 암호화폐에 대해 일반기업 회계기준을 적용할 수 있는 기준서가 없기 때문이다.

작년 말 기준 빗썸의 유동자산은 1조9100억원이다. 현금성 자산 9918억원, 단기금융상품 4800억원 등을 포함한 금액이다. 장기대여금, 매도가능증권, 건물 등을 합한 비유동자산은 185억원이다. 회원예치금, 미지급금 등을 합한 유동부채는 1조3700억원이다. 자본금과 이익잉여금은 각각 205억원, 5374억원이다.

작년 매출액, 영업이익, 당기순이익은 각각 3334억원, 2651억원, 5349억원이다. 일반 상장사와 달리 당기순이익이 매출을 넘어서는 기이한 모습이다. 빗썸이 사용자로부터 수수료를 받을 때 매입 시엔 암호화폐로, 매도 시엔 원화로 처리하기 때문이다.

이 때문에 매출액 산정 시 암호화폐 수수료가 당시 시가로 계산되는 것과 달리, 당기순이익 산정 시에는 암호화폐를 매도하는 시점의 수수료가 적용된다. 암호화폐의 평가이익이 더해진 셈이다.

◆ 350억원 회사 돈으로 해결? = 이번 해킹사고 전 빗썸은 지난해 총 3만6487건의 개인정보 유출 사고를 겪은 이후 제1금융권(은행) 수준의 보안 체계를 갖췄다고 자신해왔다. 빗썸 측 설명과는 달리 보안 시스템에 구멍이 있었거나, 제대로 구축되지 못했을 가능성이 제기되는 이유다. 이와 함께 빗썸이 아직 정보보호관리체계(ISMS) 인증을 받지 못한 사실도 다시 도마 위에 올랐다.

해킹으로 도난당한 350억원의 암호화폐가 고객 소유인지도 관심사다. 20일 오전 빗썸은 “유실된 암호화폐는 전부 회사 소유 분으로 충당할 예정이며 회원님들의 자산 전량은 안전한 콜드월렛 등에 이동 조치하고 있다”고 자사 공지사항 페이지에 글을 올렸다. 도난당한 암호화폐가 고객 소유인지 아닌지에 대해선 구체적인 설명이 없다.

핫월렛(hot wallet)은 인터넷에 연결된 암호화폐 서버로 거래 속도가 빠르지만 해킹에 취약하다는 단점이 있다. 콜드월렛(cold wallet)은 인터넷에 연결되지 않아 해킹에는 상대적으로 안전한 편이지만 거래 속도가 느리다는 단점이 있다. 빗썸은 핫월렛과 콜드월렛으로 서버를 나눠 암호화폐를 저장하고 있다고 밝히고 있다.

문제는 빗썸이 자사에 유리한 조항을 적용해 고객 소유의 암호화폐를 상당량 자사 서버에 보유하고 있을 가능성이 높다는 점이다. 그렇다면 언제라도 고객 소유의 암호화폐가 도난당하는 사태가 일어날 수 있다.

빗썸은 처음 계좌를 개설한 고객이 자사가 임의적으로 정한 ‘고액’을 해외 거래소로 출금하려할 경우 출금 제한 조치를 내리는 조항을 두고 있다. 이는 불공정 약관으로 해석될 여지가 있다. 일각에선 빗썸이 자의적인 조항으로 고객 돈을 묶어놓고 자산을 불린다는 지적도 제기되고 있다. 지난 4월 공정거래위원회는 빗썸 등 국내 가상화폐거래소의 이 같은 불공정 약관 조항을 지적한 바 있다.

한편 빗썸이 회사 소유 분으로 유실된 암호화폐를 충당하겠다고 밝혔으나 작년 매출액(3334억원)과 유동자산(1조9100억원) 규모를 생각해볼 때 사업적 손실은 그리 크지 않을 수 있다. 올해 1월 일본의 가상화폐거래소 코인체크는 5800억원 규모의 암호화폐 넴(XEM)을 해킹·도난당했는데 당시 코인체크는 우리 돈으로 4600억원에 달하는 보상금을 26만명의 피해자에 지급하겠다고 발표한 바 있다.

<신현석 기자>shs11@ddaily.co.kr