[디지털데일리 박세아 기자] 이번 주 주간블록체인 시작합니다.

6일, 디지털자산특별위원회가 주최한 '블록체인이 이끄는 금융혁신, 자본시장에 힘이 되는 토큰증권(ST)' 민정당 간담회가 있었습니다. 저는 오늘 이 자리에 참석했는데요.

국회의원회관 제1회의실에서 열린 이번 민정당 간담회는 처음으로 ST를 다룬다는 점에서 의의가 있었습니다.

ST의 열기를 증명이라도 하듯, 많은 취재진과 관계자가 참석해 눈길을 끌었습니다. 금융위원회와 금융감독원, 한국예탁결제원이 주제발표를 통해 서두를 열었는데요. 이후 학계와 법조계, 시장 전문가, 증권사 ST담당자들이 나와 ST의 문제점과 향후 미래와 관련해 심도있게 의견을 나눴습니다.

구체적으로 어떤 내용이 있었는지 살펴보시겠습니다.

◆'ST 유망한 건 알겠는데...'…증권성 판단, 향후 큰 문제될까

이날 자본시장연구원 김갑래 연구위원은 ST의 증권성 판단 절차를 제도화하고, 구체화해 나갈 필요가 있다고 지적했는데요. 이 과정속에서 현재 입법논의가 미뤄지고 있는 디지털자산기본법의 조속한 제정도 요청했습니다. 이 때문에 김 연구위원의 발표가 더 눈에 띄었습니다. 자세히 살펴보시죠.

먼저 김 연구위원은 "가상자산거래업자가 운영하는 거래시설의 거래지원 여부 심사 과정에 증권성 심사 절차를 제도화할 필요가 있다"라며 "증권성 가이드라인을 구체화함에 있어 국제적으로 의미있는 입법례와 주요 판결을 참조해야 한다"라고 조언했습니다.

이와 함께 그는 디지털자산법 부재로 인해 가상자산과 ST 규제차이가 커 증권성 판단 이슈가 국내에서 더욱 큰 문제로 부각할 수 있다고 꼬집었습니다. 이의 연장선상에서 디지털자산법 공백의 문제를 짚었네요. 사기죄 구성요건 등을 일일이 입증하기 어려운 현실이 이 법 공백으로 심화할 수 있다는 건데요.

미국의 경우 가상자산이어도 상품거래법 상 불공정거래 규정이 존재합니다. 따라서 증권성 적용을 확대 해석하지 않더라고 가상자산을 이용해 사기 행각을 벌인 자에 관한 입증이 상대적으로 용이합니다. 반면, 국내의 경우 지난해 테라와 루나 사태에서도 보듯, 디지털 상품거래에 관한 불공정거래 규정이 없어 일반 사기죄를 적용해야 합니다. 이로인해 사기죄 구성요건을 일일이 입증하기 어려운 상황이라고 합니다.

또 전자증권법 개정에 있어 권리추정력이 인정되는 분산원장에 대해 허가형 블록체인을 허용해야 한다는 견해인데요. 전자등록기관, 복수 계좌관리기관 등 다수의 노드가 분산원장을 확인해야 한다는 생각입니다. 그는 과거 자산유동화가 야기한 부작용이 자산의 토큰화에서 나타나지 않도록 노력해야 한다고 전했는데요. 이를 위해 대상자산 평가의 적정성 확보와 자산부실 위험의 투자자 이전 방지에 대해 언급했습니다. 투자자 보호를 위해 투자권유가 없는 ST 다자간 매매시스템에서도 적정성 원칙을 적용해야 한다고 조언했습니다.

이날 금융위원회에서도 자본시장과 과장이 나와 생소할 수 있는 ST의 기본개념과 법제안에 대해서 발표했습니다. 빠르면 내년 중 ST가 규제특례가 아닌 정식 제도권에서 다뤄질 수 있도록 하겠다고 밝혔는데요. 이를 통해 투자자 보호 여력을 키우겠다고 전했습니다.

일단 많은 사람들이 숙지하듯, ST가 정식으로 법제화를 통해 규제권 안에서 다뤄지면 당연히 투자자 재산권 보호에 있어서 유리한 환경이 조성되겠는데요.

자본시장법상 분산원장 기술일 적용되는 발행형태와는 상관없이 ST를 증권으로 포함시키고, 증권으로써 규제하겠다는 게 금융당국 골자입니다. 당연히 현재도 증권을 규율하는 법안인 자본시장법이 적용되겠습니다.

또 증권사를 통하지 않고도 ST를 발행할 수 있도록 허용되겠는데요. 일정 수준 요건을 갖춘 발행인은 발행한 증권 권리자와 거래내역 등을 분산원장에 직접 기재하는 것입니다. 이를 통해 증권을 반복적으로 발행하는 조각투자업체와 같은 사업자가 단독으로 ST를 발행해 사업 영위가 가능하도록 한다고 합니다.

투자계약증권과 수익증권의 장외 유통플랫폼 제도화도 함께 준비 중입니다. 기존에는 주식 외 증권을 거래할 수 있는 장외시장 제도가 부재했는데요. 하지만, 이번에 투자계약증권과 수익증권의 장외거래 중개 인가단위를 신설해 다자간 상대매매 중개업무를 허용하기로 했습니다. 많은 업자들이 기대하는 부분이 이 대목인데요. 다양한 자산의 증권화로, 다양한 거래시장이 활성화될 수 있다고 예측하는 분위기 입니다.

◆ISMS 인증만 받으면 끝? 가상자산거래소, 개인정보보호 조치 '글쎄'

지난주 저는 가상자산거래소의 정보보호관리체계(ISMS) 인증에 집중했는데요. 물론 원화 거래가 가능한 거래소는 모두 ISMS, 나아가 ISMS-P 까지 인증을 받았습니다. 따라서 특정금융정보법상 필수요건인 가상자산사업자 지위에는 문제가 없겠죠.

다만, 코인이 해커들의 주공격 대상으로 떠오르고 있다는 점을 고려할 때, ISMS 인증을 조금 더 면밀히 살펴봐야 하는데요.

이 ISMS 인증의 중요 요건 중 하나가 최고정보보호책임자(CISO) 지정입니다. 이에 따라 국내 가상자산거래소 모두 CISO를 두고 있는데요. 눈여겨 봐야할 점은 4개 거래소가 모두 CISO직을 두고 있지만, 최고개인정보보호책임자(CPO)를 겸직하게 하거나 별도로 두지 않고 있다는 것입니다.

CISO와 CPO 간 겸직문제는 이전부터 있어왔는데요. 한 때 금지됐다고 2021년 8월 다시 해제됐습니다. CISO와 CPO가 비슷한 업무를 영위하는 데 굳이 예산을 낭비하면서까지 따로 둬야하냐는 문제의식이 이와 같은 결과를 낳게된 것이죠. 실제 현장에서 예산 집행권한을 가진 CISO가 권한이 강하기 때문에 CPO가 맡는 개인정보 보호 정책 등에 있어 균형이 깨지는 현상이 나타날 수 있어 애초에 CISO와 CPO 겸직을 허용하게 하자는 취지였습니다.

하지만, 조금 더 면밀히 살펴보면 이 둘을 분리하는 게 업무 효율성이 더 높아질 수 있는 결과로 나타나는데요. CISO와 CPO 직무가 비슷해 보이지만, 이 둘을 분리하는 것은 개인정보보호영역을 데이터 보안 업무에서 따로 떼어낸다는 점에서 의미가 있습니다. 전문가가 선임되고 각자 업무 영역이 잘 분담된다는 전제 하, 이 경우 광범위한 정보 보안 이슈에 효율적으로 대응할 수 있는 것이죠.

따라서 보안 측면에서 이를 바라보는 다수 전문가들은 CISO와 CPO를 분리해야 한다고 입을 모으고 있습니다. 특히 24시간 쉬지 않고, 수백만명 이상 고객정보를 다루는 거래소 특성상, 개인정보보안 강화는 나날이 중요해질 수밖에 없는 문제입니다. 얼마전 보안 문제가 있었던 LG유플러스 역시, 문제를 근본적으로 해소하기 위해 CISO와 CPO를 분리시켰죠.

CISO와 CPO는 관장하는 업무 분야가 명백히 다릅니다. 기술적 측면을 책임지는 CISO와 관리와 정책 측면을 다루는 CPO는 때에 따라서 공생해야 하지만, 견제를 통해 적절히 업무 균형을 이뤄야 개인정보보안이 질적으로 발전하는 환경이 조성될 수 있습니다.

하지만, 인증요건과 법률이 바뀌지 않는 한, 사업자들이 자체적으로 개선하기에는 쉽지 않은 부분입니다. 단기적으로 보면 구색만 맞춰도 ISMS 인증을 받을 수 있기 때문에 굳이 추가로 예산 배정할 필요가 없기 때문이죠.

다만, 디지털자산기본법의 입법 공백 속, 투자 보호 측면 등을 사업자 자율에 맡고 있는 만큼, 업자들에게 기대하는 부분도 커지는데요. 스스로 다루는 고객정보와 거래규모 등 중요성을 감안해 먼저 제도를 개선한다면 장기적으로 개인정보 보안이 강화할 수 있다는 점에서 유의미한 투자가 아닐까 싶습니다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지