금융보안원 FISCON2025 현장 ‘스테이블코인 보안 고려사항’ 발표 스마트컨트랙트 키 관리 실패 등 지적 “국내 스테이블코인 포괄적 보안규제 부재”

[헤럴드경제=정호원 기자] 스테이블코인은 결제수단으로서 기존의 시스템을 대체할 가능성을 지니고 있으며, 발행자는 통화 발행 권한을 갖는 한편, 블록체인 특성상 사고 발생 시 사고 확산 속도가 빠르다는 점에서 보안의 중요성이 강조된다. 이에 따라 스테이블코인에 대한 규제를 선제적으로 마련할 필요성도 제기되고 있다. 특히 홍콩의 스테이블코인 보안 가이드라인은 발행자에게 구체적인 보안 요구사항을 제시하고 있어, 이를 참고하는 것이 중요하다는 조언도 나왔다.

20일, 금융보안원은 서울 여의도 콘래드호텔에서 국내 최대 금융정보보호 컨퍼런스인 ‘FISCON2025’를 개최했다. 이날 ‘디지털금융 위협 대응방안’ 세션에서 ‘스테이블코인 보안 고려사항’을 주제로 발표한 허세경 금융보안원 디지털금융전략팀장은 “국내 원화 스테이블코인 도입 과정에서 발생할 수 있는 해킹 등 보안사고가 금융소비자 보호에 심각한 영향을 미칠 수 있다”며 “신뢰할 수 있는 스테이블코인 환경을 조성하기 위해서는 해외 사례를 참고한 보안 요건 마련이 필요하다”고 강조했다.

스테이블코인이 단순한 암호화폐를 넘어 금융 인프라의 핵심 요소로 자리 잡아가고 있는 만큼, 보안의 중요성은 더욱 커지고 있다. 허 팀장은 “스테이블코인의 연간 온라인 거래량은 약 27조 달러에 달해, 이는 비자·마스터카드의 거래 총액을 초과할 정도로 방대하다”며 “따라서 보안 사고 발생 시 금융 안정성에 심각한 영향을 미칠 수 있다”고 경고했다. 그는 이어 “스테이블코인 발행자에게 주어지는 스마트 컨트랙트의 개인 키는 사실상 통화 발행 권한과 같으며, 개인 키가 해킹당할 경우 무단 발행과 무단 소각 등으로 이용자 자산에 피해를 줄 수 있다”고 덧붙였다. 또한 “블록체인 특성상 사고 발생 시 공격자가 탈취한 코인을 여러 지갑으로 분산시킬 수 있어, 사고 확산 속도가 매우 빠르며 국가 차원의 대응만으로 피해를 막기 어려울 수 있다”고 설명했다.

스테이블코인 사용 시 발생할 수 있는 보안 사고 원인으로는 ▷스마트 컨트랙트의 취약점 ▷키 관리 실패 ▷내부 보안 통제 부족 등이 지적됐다. 허 팀장은 “블록체인 자체는 안전할 수 있지만, 그 위에서 운영되는 스마트 컨트랙트는 코드 오류나 변경, 주소 관리 등으로 사고가 발생할 수 있다”며 “스마트 컨트랙트의 발행·소각 등 핵심 기능에 사용되는 개인 키가 탈취되면 보안 위협이 생길 수 있다”고 경고했다. 또한 “접근 권한 미비, 로그 관리 부족, 시스템 모니터링 부재 등 관리적 통제가 부족할 경우 내부자의 악의적인 행동으로도 사고가 발생할 수 있다”고 덧붙였다.

현재 해외 주요국들은 스테이블코인 발행자에게 기존 금융권 수준의 보안 규제를 적용하고 있다. 미국은 지니어스법(GENIUS ACT)을 통해 스테이블코인 발행자의 IT 위험 관리에 대한 원칙 중심 요건과 기준 제정의무를 부과하고 있다. 유럽연합(EU)은 가상자산법(MiCA)을 통해 디지털자산 사업자에게 기존 금융 서비스의 보안 규제를 준수하도록 요구하고 있으며, 일본은 전자결제수단거래법을 신설해 금융회사와 동일한 보안규제를 적용하도록 한다.

특히 홍콩통화청(HKMA)은 정부 차원에서는 최초로 스테이블코인 보안 지침을 마련했다. 허 팀장은 “홍콩 통화청은 스테이블코인 발행자에게 최소 자본금 확보, 준비금 관리, 상환 권리 보장, 고객 확인 를 비롯해 위험 관리에서도 구체적인 요구사항을 제시하고 있다”고 했다. 홍콩통화청은 ▷토큰 관리 ▷지갑 및 개인 키 관리 ▷고객 계정 관리 부분에서 지침을 마련해 제시하고 있다. 구체적으로는 스마트 컨트랙트에 대해 최소 연 1회 이상 제3기관을 통한 감사를 의무화하고, 블록체인 안정성에 대한 평가를 요구하고 있다. 또 개인 키 생성 단계에서 강력한 암호화 알고리즘을 사용하고, 저장 및 보관 단계에서도 인증된 안전한 환경을 마련할 것을 제시했다. 고객 계정은 신원 확인·인증, 이상 거래 모니터링 시스템 구축도 필수적인 보안 대책으로 제시되고 있다.

현재 국내에는 ‘특정금융거래정보법’과 ‘가상자산이용자보호법’으로 가상자산 사업자를 규제하고 있으나 스테이블코인에 대한 구체적이고 포괄적인 보안 규제는 아직 마련되지 않은 상태다. 허 팀장은 “향후 정책적으로 보강될 필요가 있다”고 언급했다. 이날 ‘디지털 금융보안 인사이트 리포트’를 주제로 발표한 조주영 금융보안원 책임도 “디지털 자산이 금융제도권에 본격 제도화되고 있지만 보안 규제에 대한 세부적 규정은 여전히 공백 상태”라며 “해킹이나 보안 사고 발생 시 시장 신뢰에 큰 타격을 받을 수 있다”고 강조했다.

이날 이억원 금융위원장은 축사에서 “금융서비스의 전산시스템 의존도가 높아지는 가운데, 작은 보안 실수나 부주의로도 막대한 정보 유출과 고객 피해가 발생할 수 있다”며 “CEO 책임하에 금융회사가 스스로 보안을 강화할 수 있도록 제도적 장치를 마련하고 실질적인 관리·감독을 통해 사고 발생 시 금융소비자 피해를 최소화하는 정책 기반을 구축하겠다”고 말했다. 또 금융보안에 특화된 별도의 법제를 제정하기 위한 ‘디지털금융안전법’ 제정 논의도 시작할 것이라고 말했다.

박상원 금융보안원 원장은 “디지털 자산은 기존 금융 질서를 재편하고 있으며, AI 악용, 피싱, 신원도용 등 새로운 위험도 현실화되고 있다”며 “금융회사의 운영, 평판, 재무 전반에 직결되는 핵심 리스크인 보안은 더 이상 비용이 아니라 미래를 위한 전략적 투자”라고 강조했다.