[서울이코노미뉴스 박희만 기자] 국내 가상자산 거래소 빗썸의 내부통제 수준을 두고 경영진과 감사, 외부감사인이 정반대 평가를 내린 사실이 드러나며 그 배경에 이목이 쏠리고 있다.
이번 논쟁의 핵심은 ‘같은 시스템을 두고 서로 다른 시점과 기준으로 평가했다’는 점이다.
경영진은 사고 이전의 운영 상태를 기준으로 적정성을 강조한 반면, 감사와 회계법인은 실제 사고 발생을 반영해 내부통제 실패를 지적했다.
2일 금융감독원 전자공시에 따르면 이재원 대표 등 빗썸 경영진은 2025년 사업보고서에서 내부회계관리제도가 “중요성의 관점에서 효과적으로 설계·운영되고 있다”고 판단했다.
해당 보고서는 지난 2월 6일 감사와 이사회에 제출됐는데, 공교롭게도 같은 날 저녁 대규모 비트코인 오지급 사고가 발생했다.
경영진은 이후 열린 주주총회에서도 동일한 입장을 유지했다. 내부통제 시스템 자체의 구조적 문제는 없다는 것이다.
반면 감사의 시각은 정반대였다. 이병호 감사는 3월 3일자 평가보고서에서 내부회계관리제도가 “효과적으로 운영되고 있지 않다”고 명시하며, 핵심 취약점으로 ‘이벤트 지급 데이터 검수 및 승인 통제 실패’를 지목했다.
이어 재발 방지를 위해 물리적 차단 장치 도입, 업무 프로세스 및 예산 분리, 상시 모니터링 체계 구축, 정책 거버넌스 강화 등을 개선 과제로 제시했다.
이병호 감사는 해당 보고를 끝으로 5년 6개월의 임기를 마치고 퇴직했다.
외부 감사인인 대현회계법인 역시 유사한 판단을 내렸다. 회계법인은 고객 대상 이벤트 자산 지급 과정에서 통제 절차의 미비를 확인했다며 “중요한 취약점이 발견됐다”고 밝혔다.
회사 측이 제시한 개선 방안 역시 감사의 권고 사항과 궤를 같이했다.
문제의 발단은 단순한 입력 오류였다. 지난 2월 직원이 이벤트 당첨금 단위를 잘못 입력하면서 약 62만원이 아닌 62만개의 비트코인이 지급되는 사고가 발생했다.
단일 실수가 시스템적으로 걸러지지 않았다는 점에서 내부통제의 실효성에 의문이 제기됐다.
이번 사례는 내부통제 평가가 형식적 설계 기준에 머무를 경우 실제 리스크를 반영하지 못할 수 있다는 점을 보여준다.
경영진은 제도 설계와 기존 운영 기록을 근거로 ‘적정성’을 강조했지만, 감사와 외부감사인은 실제 사고를 통해 드러난 ‘작동 실패’에 무게를 뒀다.
업계에서는 감사와 회계법인의 판단이 보다 보수적이면서도 현실적인 접근이라는 분석이 나온다.
한 관계자는 “감사 기능의 본질은 사전 예방과 사후 견제”라면서 “대규모 사고가 발생한 상황에서 내부통제가 정상적으로 작동했다고 평가하기는 어려웠을 것”이라고 말했다.
향후 관건은 통제 체계의 구조적 보완이다. 가상자산 거래소는 실시간으로 대규모 자산이 이동하는 만큼, 단순 인적 오류를 시스템적으로 차단하는 다중 통제 장치가 필수적이다.
특히 이벤트·프로모션 등 비정형 거래가 늘어나는 환경에서는 승인·검증 절차의 자동화 수준이 리스크 관리의 핵심으로 부상하고 있다.
시장에서는 이번 사건이 개별 기업의 문제를 넘어 업계 전반의 내부통제 기준을 재정립하는 계기가 될지 주목하고 있다.
규제 당국의 감독 강화 가능성도 배제할 수 없다는 점에서, 거래소들의 대응 속도와 수준이 향후 신뢰 회복의 분수령이 될 전망이다.