[기업들의 크립토] ② 디지털자산 관리는 전략이다 – 보관, 내부통제, 컴플라이언스까지

디지털자산이 기업 전략 자산으로 부상하고 있다. 비트코인을 비롯한 디지털자산을 보유하는 기업이 늘어나면서, 이를 어떻게 관리하고 활용할 것인지가 중요한 과제로 떠오르고 있다. 토큰포스트 북클럽은 딜로이트 인사이트 보고서 『기업들의 크립토 투자: 디지털자산으로 설계하는 미래』를 바탕으로 2편의 연재 시리즈를 기획했다. 이번 연재에서는 기업의 디지털자산 투자 배경과 전략, 회계·세무 처리 방안, 안전한 관리 체계 구축 등을 다룬다. 디지털자산이 기업의 경쟁력을 강화할 수 있도록 실무 인사이트를 제시한다. [편집자 주]

디지털자산을 보유하는 것은 시작에 불과하다. 핵심은 어떻게 안전하게, 투명하게, 그리고 규정에 부합하게 관리할 것인가이다.

딜로이트가 발표한 보고서 『기업들의 크립토 투자: 디지털자산으로 설계하는 미래』는 이 질문에 대해 명확한 메시지를 전달한다.

“디지털자산 보유는 이제 단순한 선택이 아니라, 지속 가능한 기업 운영과 회계적 신뢰성을 위한 전략이어야 한다.”

디지털자산을 실제로 운용하기 위해서는 단순히 ‘사서 들고 있는 것’을 넘어 보관(Custody), 내부통제(Internal Control), 컴플라이언스(Compliance) 전반에 걸친 설계가 필요하다.

셀프 커스터디 vs 제3자 커스터디 – 무엇이 더 안전한가?

디지털자산 보유 기업의 첫 번째 고민은 ‘어디에 자산을 보관할 것인가’다.

셀프 커스터디(Self-custody)는 기업이 자체적으로 프라이빗 키를 보관하고 거래 관리 책임을 직접 지는 방식이다. 보안에 대한 통제권이 높지만, 단 한 번의 실수나 해킹 사고가 치명적일 수 있다는 점에서 리스크가 크다.

반면, 제3자 커스터디(Third-party custody)는 전문 커스터디 전문기관을 통해 자산을 위탁 보관하는 방식이다. BitGo, Coinbase Custody, Anchorage Digital 등 글로벌 전문 업체들이 서비스를 제공하고 있으며, SOC 리포트(서비스조직의 통제에 대한 인증 보고서), 보험, 물리적 분리 등을 통해 안정성과 신뢰를 확보할 수 있다. 참고로, 국내에서는 한국디지털에셋(KODA), 한국디지털자산수탁(KDAC) 등 가상자산 보관사업자로 신고수리 완료한 전문기관들이 해당 서비스를 제공하고 있으며, 해외 선도사례처럼 SOC 리포트, 실효성 있는 보험 가입 등 제도적 안전장치이 마련될 것으로 보인다.

기업의 자산 규모, 운영 목적, 내부 인프라 수준 등을 고려하여 하이브리드 모델을 활용하는 전략도 가능하다. 예를 들어, 거래 빈도가 높은 소액 자산은 자체 보관하고, 장기 보유 자산은 제3자에 위탁하는 방식이다.

내부통제 시스템 – 조직이 함께 움직여야 자산이 안전하다

기업의 디지털자산 보유는 단순히 재무팀의 책임이 아니다. 딜로이트는 다음과 같이 정리한다.

“디지털자산은 재무, 회계, IT, 보안, 컴플라이언스 등 전사 부서가 공동으로 관리해야 할 범위다.”

이를 위해 기업은 다음 예시와 같은 내부통제 체계를 마련해야 한다:

• 직무 분리(Segregation of Duties): 디지털자산의 송금, 승인, 회계 반영, 회계 감사 등의 역할을 각기 다른 부서가 수행하도록 분리
• 다중 서명(Multi-signature): 자산 이체 시 2명 이상 복수의 승인을 필요로 하는 멀티시그 관리체계 구축
• 이체 한도 설정: 1일 또는 1회 이체 한도 설정, 외부 송금 시 단계별 승인 절차 적용
• 감사 추적성 확보: 블록체인 거래 내역을 바탕으로 정기적으로 외부 감사 또는 내부 감사를 시행

딜로이트는 특히 디지털자산 관리에 관한 정책, 절차 및 관련 내부통제가 반드시 문서화되어야 하며, 전사적으로 이를 공유하고 이해하는 문화가 중요하다고 강조한다.

SOC 리포트와 리스크 보고 체계의 필요성

제3자 커스터디 서비스를 활용하는 경우, 해당 기관의 신뢰성을 평가하기 위한 기준이 필요하다. 크립토 투자가 활발하게 이뤄지고 있는 미국에서는 SOC 1, SOC 2, SOC 3 리포트를 통해 서비스조직의 통제 신뢰성을 평가받고 있다.

• SOC 1: 재무 보고 목적의 통제 평가
• SOC 2: 보안, 기밀성, 개인정보 보호 등 비재무적 통제 평가
• SOC 3: 대중 공개용 요약 보고서

참고로, 서비스조직의 통제에 대한 인증을 위해 미국회계사협회(AICPA)의 SSAE 18, 국제회계사연맹(IFAC)의 ISAE 3402 기준을 준용한다.

이 외에도 보험 가입 여부, 사고 대응 프로토콜, 백업 및 복구 체계 등 종합적인 리스크 관리 체계가 마련되어야 한다.

회계 감사와 컴플라이언스를 위한 디지털자산 관리 기준

디지털자산은 국내에서는 법인 참여 로드맵이 발표되고 초기 준비 단계이다. 법인의 본격적인 시장 참여를 대비하여, 사전적인 회계감사 준비가 필요하다. 블록체인 고유의 특성이 고려되어야 하고 특히 프라이빗 키 보관 실수, 온체인 데이터의 장부 미반영, 주석 공시 오류 등은 기업의 회계 투명성에 직접적인 영향을 미친다.

미국, 일본 등 해외 선도 사례의 주요 고려사항은 다음과 같다:

• 실시간 거래기록과 안전한 자산 관리 체계 구축
• 분기 또는 반기 단위의 내부 실사 및 외부 감사 수검
• 디지털자산 관련 최신 제·개정 회계 기준 적용
• 규제 기관 보고 요건에 따른 컴플라이언스 체계 수립

마무리 – 디지털자산을 ‘보유’하는 것보다 ‘관리’하는 것이 더 중요하다

디지털자산은 더 이상 ‘보유’ 그 자체가 차별화되지 않는다. ‘어떻게 안전하게 관리하고, 내부적으로 통제하며, 외부에 투명하게 보고하는가’가 경쟁력의 핵심이 될 것이다.

『기업들의 크립토 투자: 디지털자산으로 설계하는 미래』는 기업이 자산 보유 이후 어떤 전략적 시스템을 갖춰야 하는지를 구체적으로 제시한다. 커스터디 전략, 내부통제 체계, 회계감사 및 컴플라이언스 대응 준비 등 디지털자산을 실질적으로 기업 운영에 통합하기 위한 실무 지침이 필요한 시점이다.

📖 2부작 마무리 시리즈까지 읽어주신 독자 여러분께 감사드립니다. 앞으로 더 많은 기업이 크립토 시대를 준비하는 데 이 연재가 유용한 가이드가 되기를 바랍니다.

👉 보고서 원문 다운로드: 📄 『기업들의 크립토 투자: 디지털자산으로 설계하는 미래』 – Deloitte Insights