[블록미디어 스탠리 최 기자] FTX의 붕괴와 함께 중앙화된 플랫폼, 특히 중앙화 거래소(CEX)의 자산 준비금이 관심을 끌었다. 여러 거래소들이 앞다퉈 거래소의 계정 주소를 통해 준비금 현황을 발표하기도 했다. 다만 준비금 증명은 투명성 제고를 위한 첫 걸음일 뿐, 이것으로 거래소의 지급여력을 실증하기는 어렵다는 문제를 안고 있다.
그동안 거래소가 발표한 준비금 증명에는 이용자의 예치금을 포함한 거래소의 예치 자산만 있을 뿐, 부채 상황이 전혀 공개되지 않았기 때문이다. 즉 거래소의 자산과 부채를 모두 포함한 재정 상황이 공개돼야 완전한 준비금 증명이라 할 수 있다.
이에 대해 오데일리는 “중앙화 거래소의 입장에서 준비금 증명은 사용자를 안심시키고 거래소의 자산이 어떻게 관리되고 있는 지를 보여주는 중요한 단계”라고 지적한다.
지난 몇 주 동안 바이낸스, 크립토닷컴, 후오비 등은 제3의 감사 업체가 발행한 준비금 증명을 발표했다. 하지만 마자르, 아르마니노 등 주요 회계감사 업체들이 속속 암호화폐 기업에 대한 감사 서비스를 중단하면서 암호화폐 거래소에 대한 신뢰 문제가 다시 한번 논쟁거리가 된 상태다.
오데일리는 최근 준비금 증명 관련 기사를 통해 전통적인 회계업체가 암호화폐 거래소에 대한 준비금 증명 감사를 기피하는 이유와 중앙화 거래소의 투명성을 높이기 위한 방법, 머클 트리를 활용한 준비금 증명이 자구책이 될 수 있을 지를 분석했다.
# 회계기관은 왜 암호화폐 기업에 대한 감사를 포기했나
준비금 증명(PoR)은 뭘까? 이는 암호화폐 플랫폼이 고객이 맡긴 디지털 자산에 대해 1:1만큼의 자산을 보유하고 있는 지를 확인하는 방법이다. 간단히 말해서 암호화폐 플랫폼의 지갑 주소에 있는 예치금이 사용자의 예치금보다 크거나 같으면 플랫폼에 충분한 자금이 있다고 볼 수 있고 지급 여력이 있음을 증명할 수 있다.
일반적으로 암호화폐 플랫폼은 잘 알려진 제3의 회계업체를 찾아 감사를 수행하고 준비금 증명서를 발급받는다. 이달 초 바이낸스, 크립토닷컴, 쿠코인은 모두 마자르(Mazars Group)가 감사한 준비금 증명 결과를 발표했다. 마자르는 1945년 설립된 글로벌 회계, 감사 및 컨설팅 회사로 전세계 90개 이상의 국가에서 서비스를 제공하고 있다.
그러나 마자르의 보고서도 논란을 불러일으켰다. 월스트리트 저널은 “마자르의 보고서는 제대로 된 감사 보고서가 아닌 5페이지 짜리 문서에 불과하다”고 언급했다. 마자르는 여러 압력에 직면하자 공식 웹 사이트의 감사 보고서를 삭제하고 암호화폐 거래소를 위한 서비스를 완전 중단키로 하는 한편, 암호화폐 회사와의 작업을 더 이상 하지 않겠다고 밝혔다.
FTX US에 대한 감사를 제공하는 회계법인 아르마니노(Armanino)도 암호화폐 기업 감사 서비스를 종료하고 암호화폐 기업에 대한 재무제표 감사와 준비금 증명 보고서 업무도 잠정 중단한다고 발표했다. 월스트리트저널은 회계법인 BDO도 암호화폐 고객에 대한 감사 서비스를 중단할 계획이라고 보도했다.
현재 글로벌 4대 회계법인(Deloitte, Ernst & Young, KPMG, PwC) 중 어느 곳도 암호화폐 거래소에 대한 준비금 증명 감사를 제공하지 않고 있다. 다만 딜로이트는 스테이블 코인 USDC를 발행하는 서클(Circle)에 대한 준비금 증명 감사를 지원한다고 최근 밝혔다.
회계감사 업체가 암호화폐 기업의 준비금 증명을 기피하는 이유는 뭘까?
회계 업체의 관점에서 볼 때 암호화폐는 여전히 새로운 분야다. 이들은 온체인에서 일어나는 암호화폐 비즈니스에 익숙하지 않고 전문적인 능력도 충분하지 않다. 이들도 업무를 수행하면서 배우는 과정에 있다. 바이낸스 설립자 창펑자오는 대부분의 회계 업체가 암호화폐 거래소를 감사하는 방법을 모른다고 언급하기도 했다. 뒤집어 말하면 암호화폐 회사가 이를 잘 모르는 회계 업체를 속이려 들면 그리 어려운 일도 아니다.
또한 회계 업체가 암호화폐 회사에 서비스를 제공할 때 회사의 특정 요구 사항에 따라서만 작업을 수행할 수 있디거나 자율성이 충분치 않은 경우도 있다. 준비금 감사를 할 경우 내부에서 통제하는 회계 자료나 재무 상황에 대한 자료 열람이 어려워지면 최종 보고서의 신뢰성이 떨어지는 것도 당연하다.
예를 들어, 거래소 사용자가 8,000 BTC를 예치했고 지갑 주소에 9,000 BTC가 들어 있더라도 이것만으로는 100% 지불 능력을 가지고 있다고 볼 수 없다. 또 다른 제3자가 3,000 BTC를 예치했다면 이것도 같은 지갑에 들어가 있기 때문에 온체인 거래를 일일이 확인하지 않고서는 회계 법인도 정확한 준비금이 얼마인지 알기 어렵다.
일반적으로 상장사의 경우 회계 업체가 재무재표를 들여다 보지만 비공개 회사인 암호화폐 기업에 대해서는 이것이 필수가 아닌 것이 모순의 출발점이다.
이런 상황에서 회계 법인이 준비금 증명 감사를 제공한 뒤 소송에 휘말릴 경우 회계법인 입장에서는 평판 리스크가 크고 이는 기존 사업에도 영향을 미칠 수 있다.
최근 FTX와 협력했던 두 회계법인 아르마니노와 프레저 메틱스(Prager Metis CPAs LLC)는 FTX 사용자들로부터 사기 공모 혐의로 고소를 당했다. 월스트리트저널은 “두 회계법인이 회의적인 태도로 FTX를 감사하지 않았고 FTX의 치어리더였다”고 지적했다. 이들 회계 업체의 감사를 받는 일반 기업들이 회계법인의 평판 리스크로 인해 자신들의 회계 보고서마저 의심을 받을 수 있다는 우려를 하고 있는 점도 회계 법인의 압박 요인이 되고 있다.
끝으로 FTX 사건으로 인해 미국 증권거래위원회(SEC)가 회계 법인에 대한 규제를 강화하고 있는 것도 암호화폐 고객을 포기하도록 만들고 있다. SEC 고위 관계자는 “투자자들이 회계 법인이 내어준 보고서를 통해 잘못된 안도감을 얻을 수 있기 때문에 암호화폐 회사에 대한 감사에 대한 조사를 강화하고 있다”고 말했다.
# 머클트리 준비금 증명으로 투명성 보장
회계법인이 감사를 꺼려하자 암호화폐 거래 플랫폼은 자산 준비금을 증명하기 위해 다양한 노력을 기울이고 있다.
그 중 바이낸스에서 추진하는 머클트리(Merkle Tree) 준비금 증명은 많은 주목을 받고 있는데, OKX, 비트겟(Bitget), 바이비트(ByBit)도 기본적으로 유사한 방식을 채택하고 있다. 지난 몇 주 동안 OKX를 포함한 다수의 거래소가 이 체계를 감사에 사용하고 공식 웹사이트에 그 결과를 공개했다.
# 머클트리 준비금 증명 원리는?
머클트리는 데이터를 압축할 수 있는 암호화 기술로, 머클트리를 이용하면 여러 데이터를 하나의 데이터로 합칠 수 있고 대규모 데이터 집계 결과를 저장할 수 있으며, 동시에 암호학적 수단을 통해 이를 증명할 있는 데이터를 요약헤 제공할 수 있다.
머클트리의 각 부분(리프)은 데이터 세트의 각 데이터 해시 값으로 구성된다. 구체적으로 리프 부분의 구성은 인접한 두 개의 해시 값을 연결해 함께 묶고 이를 다시 해시화해 모(母) 해시 값을 생성한다. 최종적으로 최상위 계층에 패키징되는 해시 값을 머클 루트(Merkle Root)라고 부른다. 머클트리 루트의 해시 값은 모든 데이터의 해시 특성을 담고 있으며 데이터가 변조된 노드가 있으면 전혀 다른 값을 제시하게 된다.
간단히 말해서 머클트리는 데이터 조작이나 변조 여부를 발견할 수 있는 해시의 이진 트리다. 만약 사용자 자산에 변동이 생기면 이것이 트리의 루트 데이터에 반영되어 완전히 다른 값을 제시하며, 이 메커니즘을 통해 머클트리 데이터가 변조되지 않았음을 증명할 수도 있다.
예를 들어, 거래소는 사용자의 모든 거래 계정 자산의 스냅샷을 찍어 사용자의 총 자산을 집계한다. 이때 각 사용자에게는 고유한 익명의 사용자 해시 ID가 할당된다. 각 사용자의 총 자산은 리프 노드의 정보로 머클 트리에 저장되고 모든 사용자의 자산은 머클트리 루트로 집계된다.
각 사용자의 자산 정보가 머클트리의 리프 노드에 포함되어 있는 한 해당 자산이 전체 사용자 자산에 포함되어 있음을 증명할 수 있다.
사용자가 검증할 수 있도록 각 플랫폼은 자체 오픈 소스 검증 도구인 ‘머클 밸리데이터(Merkle Validator)’도 출시했으며 사용자는 자신의 해시 값과 사용자 코드 및 기타 정보를 입력하여 자산이 머클트리 스냅샷에 포함되어 있는지 확인할 수 있다.
물론 머클트리를 기반으로 한 준비금 증명에도 몇 가지 한계가 있다.
첫째, 이때의 준비금 증명은 사용자 자산의 스냅샷일 뿐, 스냅샷 이후의 모든 자산 거래와 감사 대상에 들어가지 않은 자산은 감사 결과에 포함되지 않는다. 플랫폼은 머클트리 증명을 위해 감사 당일 자금을 여기저기서 끌어올 수도 있고 스냅샷을 찍은 뒤 자산을 곧바로 이체할 수도 있다. 실제 지난 12월 크립토닷컴, 후오비 등 일부 거래소에서 준비금 증명을 하기 직전 대량의 자금이 거래소로 이체된 정황이 확인돼 결과를 믿을 수 없다는 반응이 나온 바 있다.
해결책은 거래 플랫폼이 감사 공개 빈도를 늘리고(현재 OKX와 바이낸스는 매월 PoR 보고서를 게시) 한 달에 한 번에서 일주일에 한 번으로 늘리거나 ‘실시간 증명’으로 바꾸는 방법이다. 암호화폐 거래는 온체인에서 이뤄지는 것이므로 실시간 증명이 불가능하지 않다.
또한 제3자 모니터링 기관도 거래소가 발표한 지갑 주소를 주시하면서 감사 당일 즈음 자금의 대규모 유입과 유출이 있는지 관찰하고 이를 추적 발표할 필요가 있다.
둘째, 기존 감사와 마찬가지로 머클트리 기반 준비금 증명도 암호화폐 거래소의 부채 관계나 거래 관계 등 회사 내부의 재무 상태를 제대로 반영하기 어렵다. 이로 인해 독립된 준비금 감사로서의 신뢰성은 여전히 떨어진다.
셋째, 프런트 엔드에서의 사기 문제다. 머클트리 데이터는 거래소 자체 서버에 저장되고 사용자가 거래소와 상호 작용하는 프런트 엔드 페이지도 거래소에서 통제한다. 거래소가 사용자를 속이기 위해 가짜 페이지를 보낼 수 있기 때문에 프런트 엔드 사기 가능성도 존재한다. 사용자의 관성을 고려하면 플랫폼의 오픈 소스 도구를 통한 사용자의 자체 검증 가능성이나 빈도 역시 상대적으로 적을 수 있다.
솔루션으로 제시할 수 있는 건 제3의 신뢰할 수 있는 서비스를 사용한 준비금 증명이다. 예를 들어 체인링크 랩스(Chainlink Labs)는 일련의 즉시 사용 가능한 솔루션을 제공한다. 특히 이 서비스는 거래소의 API와 자산 저장 주소에 연결된 체인링크 노드를 사용한다. 그런 다음 이들 노드는 네트워크의 모든 계정에서 조사할 수 있는 준비금 증명 스마트 계약에 연결되어 거래소의 자산이 해당 부채와 동일한지 여부를 결정한다.
넷째, 준비금 증명은 자산의 일부만을 포함하며 거래소의 자금 상황을 완전히 반영할 수 없다. 바이낸스를 예로 들면, 1단계 준비금 증명은 BTC 자산만 포함했고 2단계 증명은 BTC, ETH, BNB, LTC, USDC, USDT, XRP, BUSD, LINK를 포함한 총 9개의 자산으로 확장했다.
OKX와 비트겟(Bitget)의 현재 보고서는 BTC, ETH, USDT 등 세 가지 자산만 포함한다. 난센(Nansen)의 데이터에 따르면 현재 이들 세 가지 자산은 OKX와 비트겟 준비금의 각각 92.63%와 63.2%를 차지한다.
바이비트의 준비금 증명 보고서에는 BTC, ETH, USDT, TRX 등 네 가지 자산(준비금의 81.13% 차지)이 포함되어 있고 USDC(6.16%)와 BIT(5.96%)는 포함되어 있지 않다.
거래소들은 앞으로 더 많은 암호화폐로 검증을 확장해야 한다. 그렇지 않으면 1:1 준비금은 공허한 이야기가 될 것이다.
# 겐슬러 “암호화폐 기업도 검증된 규칙 준수해야”
게리 겐슬러 미 SEC 의장은 “준비금 증명은 회사의 자산과 부채를 포함한 포괄 회계가 아니며 증권법에 따른 고객 자금 분리 보관 요건을 충족하지도 않는다”고 말했다. 그는 SEC가 암호화폐 회사의 재무 기록에 방점을 두고 있다면서 “암호화폐 기업도 오랫동안 검증된 보관, 고객 자금 분리 규칙과 회계 규칙을 준수해 이를 수행해야 한다”고 지적했다.
SEC를 비롯한 규제 기관은 준비금 증명을 좋게 보지도 않지만 제3자 감사가 없는 상황에서 머클트리를 기반으로 하는 준비금 증명은 업계가 스스로를 구하기 위한 효과적인 시도인 것만은 틀림없다.
암호화폐 시장은 보다 개방적이고 투명한 정보가 필요하며, 암호화폐 플랫폼은 자체적인 노력을 통해 사용자 신뢰를 재건해야 한다. 준비금 증명을 위한 온체인 검증은 새로운 영역이며 앞으로 보완해 가면서 완성해 나가야 한다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사