[이뉴스투데이 김진영 기자] 최근 대부업체 해킹으로 유출된 개인정보를 악용해 ‘코인을 보내면 빚을 탕감해주겠다’는 피싱 사기가 확산되면서 금융당국이 소비자경보를 발령했다. 해커가 실제 임직원 계정을 도용해 이메일을 발송하고 가상자산 송금을 요구하는 방식이다. 단순 정보 유출을 넘어 가상자산이 범죄 자금 이동 수단으로 활용되는 구조가 굳어지면서 시장 전반의 경계가 높아지는 분위기다.

보이스피싱과 결합된 가상자산 범죄는 피해 규모와 속도 모두 빠르게 확대되는 양상이다. 블록체인 분석업체 체이널리시스에 따르면 2025년 전 세계 가상자산 사기 피해 규모는 최소 140억달러에서 최대 170억달러(약 20조~24조원)에 달한 것으로 추산된다. 사칭·피싱 기반 범죄가 급증하면서 피해자 1인당 송금액도 크게 늘어나는 등 범죄 구조가 고도화되고 있다.

국내에서도 보이스피싱 피해금이 가상자산으로 전환된 뒤 빠르게 분산 이체되는 사례가 늘면서 추적과 환급이 어려운 구조가 굳어지고 있다. 금융당국 점검 결과 가상자산 거래소 내 사기 이용 계좌 2526건 중 1490건(59%)이 출금 지연이 적용되지 않거나, 예외 계좌를 통해 자금이 빠져나간 것으로 나타났다. 범죄 조직이 보안 기준이 느슨한 거래소를 선택해 자금을 이동시키는 모습도 확인됐다.

문제는 피해가 플랫폼 외부에서 발생하더라도 손실이 최종적으로 가상자산 생태계 내부에서 확정된다는 점이다. 이에 금융당국은 가상자산사업자를 전기통신금융사기 대응 체계에 포함시키고, 거래소 계정에도 지급정지와 피해금 환급 절차를 적용하기로 했다. 기존 금융회사에 국한됐던 보호 장치가 가상자산 영역으로 확장되면서 제도 공백으로 지적돼 온 사각지대가 빠르게 축소되는 흐름이다.

그동안 이용자 보호 체계가 뒷순위로 밀려난 배경에는 산업 구조적 특성이 자리 잡고 있다는 분석이 나온다. 거래소 수익이 거래량과 수수료에 크게 의존하는 구조에서 사업자들은 보안 투자보다 거래 활성화에 집중해 왔고, 자율 규제 중심의 운영 체계 역시 보호 기준을 통일하기보다 각 사 판단에 맡겨지는 방식으로 유지돼 왔다. 이 과정에서 출금 지연 예외와 같은 허점이 방치되며 범죄 자금이 유입·유출되는 통로로 활용됐다는 지적이다.

이 같은 구조적 한계는 거래소 기능 자체를 재정의하는 방향으로 이어지고 있다. 단순 거래 중개를 넘어 의심 거래를 사전에 차단하고 피해를 복구해야 하는 ‘위험 통제 주체’로의 전환이 요구되고 있기 때문이다. 일부 거래소는 이용자 단말 보안까지 대응 범위를 확대, 사전 예방 중심 대응을 강화하고 있다. 보안이 선택적 기능이 아닌 이용자 신뢰를 좌우하는 핵심 경쟁 요소로 이동하고 있다는 평가다.

시장 경쟁 구도 역시 이 같은 변화에 따라 재편되는 분위기다. 업계에 따르면 국내 5대 거래소는 거래대금 기준으로 업비트가 50%대 중반, 빗썸이 20~30%대, 코인원과 코빗이 각각 10% 안팎, 고팍스가 1% 미만 수준으로 형성되고 있다. 과거 업비트가 70~80% 점유율로 시장을 사실상 장악했던 구조에서, 최근에는 격차가 줄어들며 경쟁이 확대되는 모양새다.

보안 사고와 규제 환경 변화 이후 일부 이용자가 타 거래소로 이동하면서 점유율 재편이 가속화됐다는 분석이 나온다. 이 과정에서 수수료나 이벤트뿐 아니라 ‘얼마나 안전하게 자산을 보호할 수 있는지’가 거래소 선택 기준으로 부상하고 있다. 중위권 거래소들이 보안 기능 강화와 이용자 보호 프로그램을 앞세워 점유율을 끌어올리는 배경이다.

당국 역시 시장 구조를 거래 편의 중심에서 위험 통제 중심으로 전환하는 데 속도를 내고 있다. 대표적으로 가상자산 출금 지연 제도는 기존 거래소별 자율 기준에서 벗어나 예외 적용을 사실상 1% 수준으로 축소하는 방향으로 개편됐다. 보안의 약한 고리를 줄여 범죄 자금 유출 경로를 차단하겠다는 취지로 풀이된다.

금융회사·통신사·수사기관·거래소 간 정보 공유도 확대되고 있다. 계좌, 가상자산 거래 흐름, 휴대전화 개통 정보, 악성앱 정보 등을 통합 분석해 대포 폰 개통부터 자금 세탁까지 이어지는 범죄 흐름을 하나의 데이터로 추적하는 체계다. 사후 대응 중심에서 사전 탐지와 차단으로 보안 대응의 축이 이동하고 있다는 해석이 나온다.

규제 압박도 한층 강화되는 국면이다. 거래소 과실 여부와 관계없이 보이스피싱 피해를 배상하도록 하는 ‘무과실 배상책임제’ 도입이 추진되면서 이용자 보호는 사실상 법적 의무로 전환되고 있다. 금융권 기준 최대 2800억원 규모의 부담이 예상되는 가운데, 가상자산 거래소 역시 유사한 수준의 책임을 요구받을 가능성이 제기된다.

한 가상자산 업계 관계자는 “거래량과 수수료 중심 경쟁은 한계에 도달했다”며 “앞으로는 사고를 얼마나 줄이고 피해를 얼마나 빠르게 막느냐가 거래소의 핵심 경쟁력이 될 것”이라고 말했다. 이어 “보안 투자와 이용자 보호 체계를 갖추지 못한 사업자는 시장에서 자연스럽게 도태될 수 있다”고 설명했다.

이어 “실제 주요 거래소들도 이상 거래 탐지 고도화, 출금 통제 강화, 이용자 인증 절차 정비 등 보안 역량을 핵심 투자 축으로 확대하는 분위기”라며 “결국 시장은 거래 편의 경쟁에서 위험 통제 경쟁으로 재편될 가능성이 크다”고 덧붙였다.

Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지

본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.