📅 2026.06.01 | CPA뉴스(한국공인회계사회) · 최근호 공인회계사 기고
💡 핵심 요약
가상자산을 보유·거래하는 기업이 늘면서, 감사인이 전통적 감사 방법론만으로는 대응하기 어려운 새 과제에 직면했다는 전문가 기고다(최근호 공인회계사). 가상자산은 탈중앙화·익명성·높은 변동성·거래소 간 자유로운 이전·미성숙한 규제 환경 탓에 실재성·권리와 의무·완전성·평가 전 영역에서 중요왜곡표시 위험이 전통 자산보다 현저히 높다. 글은 한공회 가이드라인과 감사기준서를 바탕으로 ① 업무 수용·유지 단계의 위험·적격성 평가, ② 경영자 주장별 위험과 감사 접근(블록체인 익스플로러 조회, 개인키 통제권 입증, 복수 거래소 시세 검증 등), ③ 내부통제(콜드월렛·다중서명·직무분리) 점검, ④ 기간귀속·공시까지 실무 중심으로 제시한다.
- 가상자산 특성(탈중앙·익명·변동성)으로 실재성·완전성·평가 등 전 영역 왜곡표시 위험 급증
- 온체인 검증·개인키 통제권 입증(Proof of Control)·SOC 유형2 보고서 등 새 감사기법 필요
- 콜드월렛·다중서명·직무분리 등 내부통제 점검 — 핫월렛 단독·단일 승인자 구조는 위험 신호 / 거래 발생 시점과 블록 추가 시점의 시차로 인한 기간귀속 이슈도 점검 필요
📖 알아두면 좋은 용어
- 온체인 검증·블록체인 익스플로러 — 블록체인에 공개 기록된 거래·잔액을 직접 조회해 확인하는 것이 온체인 검증이고, 이를 가능케 하는 조회 도구가 블록체인 익스플로러다. 전통 감사의 ‘조회확인서 발송’이 불가능한 가상자산에서, 지갑 잔액을 장부와 대사하는 핵심 수단이다.
- 개인키 통제권 입증(Proof of Control) — 해당 지갑의 가상자산을 실제로 통제(소유)하고 있음을, 개인키로 전자서명을 생성해 증명하는 절차. 가상자산은 ‘개인키를 가진 자가 소유자’이므로, 장부에 적힌 자산을 회사가 진짜 보유하는지(실재성·권리) 검증하는 핵심 방법이다.
- 콜드월렛·핫월렛·다중서명 — 인터넷과 분리해 개인키를 보관하면 콜드월렛(안전), 온라인 연결 상태면 핫월렛(편리하나 해킹 취약)이다. 다중서명(multi-sig)은 거래에 여러 명의 승인을 요구하는 방식으로, 단일 승인자·핫월렛 단독 운영은 내부통제 취약 신호로 본다.
📚 관련 기준 본문
1. 회계감사기준서(KSA) 제220호 — 감사업무의 품질관리·수용과 유지
가상자산 감사는 업무를 맡을지 결정하는 수용 단계부터 차별화된 판단이 필요하다.
■ 의뢰인 관계 및 감사업무의 수용·유지
업무수행이사는 의뢰인 관계와 감사업무의 수용·유지에 관한 적합한 절차가 준수되었는지 확인하여야 하며, 감사업무를 수행하는 데 필요한 적격성과 역량(시간·자원 포함)을 감사팀이 보유하고 있는지 판단하여야 한다.
※ 가상자산 기업 수용 시 ① 신기술·규제 불안정·AML·해킹 등 고유위험의 사전 평가, ② 감사팀의 블록체인 지식·전문가 활용 가능성·업무품질관리검토자 적격성 등 적격성 확보, ③ 경영진의 위험 이해·KYC/AML 절차·수탁기관 SOC 유형2 보고서 입수 가능성 등 피감사인의 적격성·성실성 평가가 핵심이다. 역량이 안 되면 수임 자체를 재고해야 한다.
2. 회계감사기준서(KSA) 제315호 — 위험평가와 통제의 이해
■ 유의적 위험과 통제 운영효과성
감사인은 중요왜곡표시위험을 식별·평가하여야 하며, 식별된 위험이 유의적 위험이거나 실증절차만으로는 충분하고 적합한 감사증거를 입수할 수 없는 경우, 관련 통제의 운영효과성에 대한 증거를 입수하여야 한다.
※ 가상자산은 사고 상당수가 내부통제 미비에서 비롯된다. 개인키를 콜드월렛에 보관하는지, 다중서명을 적용하는지, 거래 승인에 직무분리가 있는지가 핵심 점검 대상이다. 핫월렛 단독 운영·단일 승인자 구조는 통제 취약 신호이며, 다음과 같은 상황은 감사위험을 키우는 적색신호다: ① 블록체인 추적 불가 거래나 현금 미수반 거래 빈발, ② 투명성 낮은 수탁사·혼합 공개주소, ③ 검증 노드 수가 적거나 코드 비공개 블록체인 사용, ④ 비활성 시장·가격 결정 불투명한 자산 보유.
3. 회계감사기준서(KSA) 제500호 — 감사증거(실재성·완전성)
■ 충분하고 적합한 감사증거
감사인은 합리적인 결론의 근거가 되는 충분하고 적합한 감사증거를 입수하여야 한다. 감사증거의 적합성은 목적적합성과 신뢰성으로 판단하며, 증거의 신뢰성은 그 원천과 성격, 입수 상황에 따라 영향을 받는다.
※ 가상자산 증거 수집의 핵심 원칙이다. 실재성·권리는 블록체인 익스플로러 잔액 조회+장부 대사, 자체보관 시 개인키 전자서명(Proof of Control), 제3자 수탁 시 잔액확인서·SOC 유형2 보고서로 검증한다. 특히 거래소 스크린샷은 단독 증거로 불충분하며 API 직접 조회나 독립적 확인을 병행해야 한다. 완전성은 미신고 지갑·하드포크·에어드롭·오프체인 거래 누락 위험에 대응해 전수 대사·체인분석(Chain Analysis) 도구를 활용하고, 특수관계자 거래 식별 절차와 공시 누락도 확인한다.
4. 회계감사기준서(KSA) 제540호 — 회계추정치(공정가치) 감사
■ 공정가치 측정의 적정성
감사인은 공정가치 측정 등 회계추정치에 대하여, 적용된 방법·가정·자료의 적정성과 추정 불확실성, 경영진 편의 가능성을 평가하여야 한다.
※ 가상자산의 극심한 변동성 탓에 기말 평가가 중요 감사영역이 된다. 적용 회계기준(무형자산·재고자산·금융자산)에 따라 공정가치/원가 기준이 달라지므로 분류 적정성을 먼저 보고, 복수 거래소 시세·기말 UTC 종가의 일관 적용, 비활성 시장 자산의 Level 2·3 측정 논리와 추정 불확실성, 무형자산 분류 시 손상 징후를 검토한다. 추가로 거래 발생 시점과 블록 추가 시점 간의 시차로 인한 기간귀속 오류 가능성을 점검하고, 분류·보관 방법·위험 요소·공정가치 측정 방법론에 관한 주석 공시의 충분성을 확인해야 한다.
🔍 시사점
- ‘조회확인서’가 통하지 않는 감사 — 전통 감사는 은행 등에 조회확인서를 보내 자산을 검증하지만, 분산원장 기반 가상자산은 이 방식이 불가능하다. 온체인 검증·개인키 통제권 입증이라는 새 기법을 익히지 못하면 실재성 검증 자체가 무너진다. 감사 방법론의 근본적 재설계가 요구된다.
- ‘수임 단계’에서 이미 승부가 갈린다 — 가상자산 감사는 팀의 블록체인 적격성, 전문가 활용 가능성, 피감사인의 KYC/AML·내부통제 역량을 수용 단계에서 평가하는 것이 핵심이다. 역량 없이 수임하면 감사품질을 담보할 수 없으므로, ‘맡을지 말지’의 판단이 첫 관문이다.
- 거래소 스크린샷은 증거가 아니다 — 화면 캡처는 조작·오류 가능성이 있어 단독 증거로 불충분하다. API 직접 조회, 블록체인 익스플로러 대사, 수탁기관 SOC 유형2 보고서 등 독립적·검증가능한 증거를 병행해야 한다. 증거의 신뢰성(KSA 500호) 원칙이 가상자산에서 특히 엄격히 적용된다.
- 완전성 — ‘없는 것’을 찾는 어려움 — 신고된 지갑이 전부인지 확인하기는 기술적으로 어렵다. 하드포크·에어드롭으로 생긴 자산, 추적 불가능한 오프체인 거래가 누락 위험이다. 체인분석 도구로 미신고 지갑을 탐지하는 등 적극적 절차가 필요하다.
- 내부통제가 곧 자산 안전 — 가상자산 사고 다수는 통제 미비에서 비롯된다. 콜드월렛 보관·다중서명·거래 승인 직무분리가 갖춰졌는지가 핵심이며, 핫월렛 단독·단일 승인자 구조는 즉시 위험 신호로 봐야 한다. 통제 점검이 실증절차만큼 중요해진다.
- 분류·기간귀속·공시까지 점검 영역 확대 — 같은 가상자산도 무형자산·재고자산·금융자산 중 어디로 분류하느냐에 따라 공정가치/원가 기준이 갈린다. 분류 적정성을 먼저 확정하고, 복수 거래소 시세·UTC 종가의 일관 적용, 비활성 시장 자산의 측정 논리, 거래 발생 시점-블록 추가 시점 시차에 따른 기간귀속, 분류·보관·위험·평가 방법론의 주석 공시 충분성을 검토해야 평가의 신뢰성이 확보된다.