60조원 상당의 비트코인 오지급 사태로 빗썸이 회사 자산을 안일하게 관리해온 것으로 드러났다. 빗썸은 직원 한 명의 단위 입력 실수로 62만원을 62만개 비트코인으로 잘못 지급했다. 빗썸만의 구조적 헛점으로 인재(人災)란 지적이 들끓고 있다. 그러나 다른 거래소는 다중 승인절차 또는 보유한 자산을 초과해 지급할 수 없도록 내부통제 시스템을 마련해두고, 운용 규칙을 준수하고 있다고 밝혔다. 9일 금융당국과 가상자산 업계에 따르면, 빗썸은 지난 6일 오후 7시 '랜덤박스' 이벤트 당첨자 249명에게 총 62만원을 주려다 지급 단위를 '원(KRW)'이 아닌 '비트코인(BTC)'으로 잘못 입력했다. 이로 인해 총 62만개 비트코인이 당첨자 계좌에 잘못 입금됐다. 당시 거래금액 기준(9800만원)으로 61조원 가량이다. 빗썸은 사고 발생 약 35분 뒤 해당 계좌의 거래와 출금을 차단했지만, 일부 이용자가 이미 받은 비트코인을 매도한 뒤였다. 금융감독원에 따르면 잘못 지급된 비트코인을 실제로 매도한 이용자는 86명으로 파악됐다. 빗썸은 매도된 물량 대부분 회수하는 데 성공했으나, 비트코인 125개는 되찾지 못한 상태다. 이는 당시 시세 기준 약 130억원 규모다. 이 가운데 약 30억원은 이용자들이 본인 명의 은행 계좌로 출금했고, 나머지는 다른 가상자산을 매수하는 데 사용된 것으로 알려졌다. 이번 사고를 두고 이용자들 사이에서는 “빗썸이 보유하지도 않은 비트코인 62만개를 어떻게 고객 계좌에 입금할 수 있었느냐"는 의문이 제기된다. 빗썸이 지난해 3분기 공시한 자료에 따르면, 회사가 직접 보유한 비트코인은 175개, 고객이 위탁한 비트코인은 4만2619개다. 이를 모두 합쳐도 4만2794개로 이번에 잘못 지급한 62만개에 한참 모자란다. 이처럼 '유령코인'을 지급할 수 있었던 배경에는 중앙화 거래소(CEX)의 장부거래 방식이 있다. 중앙화 거래소는 고객이 입금한 가상자산을 자체 지갑에 보관한 뒤, 거래가 발생할 때마다 블록체인에 즉시 기록하지 않고 전산 데이터베이스(DB)상의 장부 잔고만 변경하는 방식으로 운영된다. 개인 지갑 간 거래를 블록체인 스마트 계약으로 처리하는 탈중앙화 거래소(DEX)와 구분되는 구조다. 업비트, 빗썸, 코인원, 코빗, 고팍스 등 국내 주요 거래소와 바이낸스, 코인베이스 등 글로벌 거래소 대부분이 중앙화 거래소 방식을 채택하고 있다. 이는 전 세계 수천만명의 투자자가 동시에 주문을 내는 유동성을 감당하려면 거래 속도와 수수료 측면에서 불가피한 선택이라는 게 업계 설명이다. 한 가상자산 거래소 관계자는 “거래할 때마다 블록체인에 기록하면 한 건의 거래에 몇 분이 걸리고 수수료도 지금의 수십 배가 될 수 있다"고 말했다. 장부거래 방식 자체는 은행과 증권사 등 전통 금융기관에서도 사용된다. 예를 들어 예금도 현금을 물리적으로 옮기는 것이 아니라 은행 전산 장부에서 기록된 잔액을 바꾸는 방식이다. 다만, 금융기관은 통상 장 마감 후 별도의 정산 과정을 거쳐 전산상의 숫자와 실제 보유 자산이 일치하는지 점검한다. 결국 빗썸의 내부통제 시스템이 제대로 작동하지 않은 것이 이번 문제의 핵심이라는 지적이 나온다. 시작은 이벤트 담당 직원의 입력 실수였다. 그러나 빗썸은 내부 장부 관리, 출금 검증, 리스크 통제까지 핵심 시스템이 작동하지 않은 구조적 사고였다는 비판을 받는다. 빗썸도 사고 이후 “가상자산 거래소의 최우선 가치인 '안정성과 정합성'을 지키지 못한 점에 대해 무거운 책임을 통감한다"며 “자산검증 시스템 고도화, 다중 결재 시스템 보완, 이상거래 탐지 및 자동 차단 AI 시스템 강화 등의 내부통제 시스템 고도화를 수립하겠다"고 밝혔다. 이와 관련해 업비트, 코인원, 코빗, 고팍스 등 다른 가상자산 거래소는 각각 방식은 다르지만 보유 자산을 초과한 지급이 이뤄지지 않도록 안전장치를 마련해 두고 있다고 강조했다. 업비트는 “2017년부터 보유하지 않는 디지털자산이 지급되는 사고를 원천 차단하기 위해 다양한 안전장치를 구축하고 있다"며 “시스템 설계 단계부터 실제 보유 중인 자산만 이벤트 지급이 가능하도록 제어하고 있다"고 설명했다. 또한 자체 구축한 준비자산 증명 시스템을 통해 블록체인 지갑에 실제 보관된 수량과 업비트 전산 장부상 수량을 상시 대조·점검해 자산 정합성을 유지하고 있다고 덧붙였다. 코인원은 “승인 체계가 까다롭게 되어 있어 담당자가 클릭 한 번으로 지급할 수 있는 구조는 아니"라며 “요청과 결재 절차가 나눠 있고 금액이 커지면 결재 절차가 임원 또는 대표까지 늘어난다"고 말했다. 또한 자산 정합성이 맞지 않으면 몇 번 더 확인하는 절차가 있다고 덧붙였다. 코빗은 “이벤트 보상 지급은 별도 이벤트 계정에서 출금해 고객에게 입금하는 구조여서 거기 있는 금액만큼 지급할 수 있다"고 말했다. 이어 “자산 관리 시 이중장부 방식을 적용하고 있어 모든 거래는 출금과 입금 쌍이 이뤄야 기록될 수 있다"며 “실제 보유한 자산을 초과한 지급은 차단되는 구조"라고 덧붙였다. 고팍스는 “금액이 많든 작든 간에 실제 지급하기 전에 교차검증은 하고 있다" 며 “고객의 거래 패턴이나 본인 자금으로 거래 여부 등을 모니터링하며 이상 거래가 감지되면 한 번 더 확인하는 시스템을 구축하고 있다"고 말했다. 해외 거래소도 장부거래와 실거래간 일치를 확인하는 장치를 운영 중이다. 해외 거래소 코인베이스의 사업보고서(10-K)에 따르면, 코인베이스는 온라인에 직접 연결되어 있지 않은 콜드 스토리지(cold storage)에 보관된 가상자산을 전문가와 협의해 관리하고, 개인 키 생성 절차를 관리한다. 또한 회사의 가상자산 잔고와 고객 자산을 분리 보관하며, 자체 감시도구를 활용해 공개 블록체인상에서 증거를 확보, 가상자산 잔고의 실재성을 실제 보유 잔고와 맞춰보는 검증 절차(reconciliation)를 거쳐 점검한다. 금융당국은 이번 사태를 가상자산 거래소의 내부통제 시스템 실패로 규정하고 디지털자산기본법(가상자산 2단계법)에서 규제돼야 한다는 점을 분명히 했다. 이찬진 금융감독원장은 이날 열린 금감원 업무계획 발표 및 기자간담회에서 “오기입이 가능한 전산시스템에 관해 집중적으로 우려하고 있다"며 “가상자산 거래소 정보시스템의 근본적 문제가 노출된 것"이라고 말했다. 특히 “오입력된 데이터로 거래가 실현됐다는 게 문제의 본질"이라고 강조했다. 이어 잘못 지급된 비트코인은 반환 대상이라는 점도 강조했다. 이 원장은 애초 빗썸이 '랜덤박스' 이벤트로 1인당 2천원씩 당첨금을 주겠다고 고지한 만큼 “부당이득 반환 대상은 명백하다"면서 “반환 대상인 것은 이론의 여지가 없으며, 원물 반환이 원칙"이라고 밝혔다. 전날 금융위원장 주재로 연 점검회의에서 이억원 금융위원장도 “이번 사태를 계기로 가상자산 거래소의 내부통제 시스템의 구조적 취약점이 드러난 만큼, 빗썸뿐만 아니라 모든 거래소의 내부통제 전반에 대해 점검하고 적절한 내부통제 체계를 마련할 것"을 지시했다. 특히 이 위원장은 “가상자산 거래소가 이용자에게 가상자산을 지급할 때 장부와 보유 가상자산 간 검증체계, 다중 확인절차, 인적 오류제어 등의 통제장치가 적절히 구축되어 있는지를 중점적으로 점검해야 한다"고 강조했다. 최태현 기자 cth@ekn.kr

2026-02-09 17:05 최태현 기자 cth@ekn.kr