실보유의 12배 넘는 물량 30분간 유통…“돈 복사도 가능한 구조” 논란 속 제도 보완 촉구
@연합뉴스
[더파워 이경호 기자] 가상자산 거래소 빗썸의 ‘62만개 비트코인 오지급’ 사고를 계기로, 중앙화 거래소의 이른바 ‘장부 거래’ 구조와 허술한 내부 통제 시스템에 대한 우려가 커지고 있다.
8일 금융당국과 업계에 따르면 빗썸에서는 지난 6일 랜덤박스 이벤트 과정에서 원화 보상 대신 60조원대 규모의 비트코인이 잘못 지급되는 사고가 발생했다.
이번 사고는 빗썸이 이용자에게 지급할 62만원 상당 랜덤박스 보상을 내부 시스템에 입력하는 과정에서 벌어졌다. 1인당 2천∼5만원을 원화로 지급해야 했지만, 담당 직원이 지급 단위를 ‘원’이 아닌 ‘비트코인(BTC)’으로 잘못 입력하면서 총 62만개의 비트코인이 내부 장부에 찍혔다.
이벤트에는 695명이 참여해 249명이 랜덤박스를 실제로 개봉했고, 이들 계정에는 1인당 평균 2천490개(약 2천440억원 상당)의 비트코인이 표시됐다. 이 가운데 일부는 거래 차단 전 30분 남짓한 시간 동안 비트코인을 매도해 약 133억원어치를 현금화했고, 이 중 30억원 안팎은 이미 개인 지갑 등으로 빠져나간 상태로 파악됐다. 반대로 급락한 가격에 팔았다가 손실을 본 투자자들도 발생해, 약 10억원 규모의 차액 손실이 난 것으로 추정된다.
사고 당시 빗썸 애플리케이션에 표시된 비트코인 내부 유통량은 평소 약 4만6천개 수준에서 단숨에 66만개를 넘어섰다. 이는 빗썸이 고객 위탁자산 4만2천619개와 자산 175개 등 약 4만2천8백여개를 보유하고 있다고 밝힌 지난해 3분기 말 기준 수량의 10배를 훌쩍 웃도는 규모다.
전 세계 비트코인 총발행량 2천100만개의 약 3%가 빗썸 안에서 ‘장부상’으로 유통된 셈이라, 이용자들 사이에서는 “사실상 돈을 복사한 것과 다를 바 없다”는 비판이 쏟아졌다. 빗썸은 이후 내부 데이터베이스(DB)상의 숫자를 되돌리는 방식으로 계좌에 찍힌 비트코인을 회수한 뒤 “지갑에 보관된 실제 코인 수량과 고객 화면에 표시되는 수량은 100% 일치하도록 관리하고 있다”고 해명했지만, 신뢰 훼손은 수그러들지 않고 있다.
이번 사태의 배경에는 중앙화 거래소(CEX) 특유의 ‘장부 거래’ 구조가 자리 잡고 있다. 빗썸을 포함한 국내 주요 거래소는 고객이 입금한 코인을 콜드월렛(오프라인 지갑) 등에 모아두고, 매매가 이뤄질 때마다 블록체인에 직접 거래를 올리는 대신 내부 전산, 즉 DB상의 잔고만 바꾸는 방식으로 대부분의 거래를 처리한다.
이 때문에 거래 속도와 수수료 측면에서 탈중앙화 거래소(DEX)보다 유리한 반면, 시스템 오류가 발생하면 실제 보유 물량과 장부상 수량이 어긋날 수 있다는 구조적 한계를 안고 있다.
업계 관계자는 “콜드월렛에 있는 실제 가상자산 수량을 한도로 내부 장부를 운용했더라면 존재하지도 않는 62만개 비트코인이 입력되는 일은 없었을 것”이라며 “실보유를 초과하는 수량은 애초 장부에 기록 자체가 안 되도록 설계했어야 한다”고 지적했다.
내부 통제 장치가 제대로 작동하지 않았다는 비판도 거세다. 이번 사고는 원화와 비트코인처럼 규모 차이가 큰 단위를 동일한 시스템에서 단순 선택만으로 처리하도록 한 구조에서 비롯됐다. 또 거래소 내부 장부에 입력되는 가상자산 수량에 상한선을 두지 않아, 실제 보유 물량의 12배가 넘는 비트코인이 무제한으로 찍히는 것을 아무도 막지 못했다는 점도 문제로 꼽힌다.
빗썸이 비트코인 오지급 사실을 인지한 시점은 지급 후 약 20분이 지나서였고, 거래 차단 및 회수 조치에 들어간 것은 30분이 지난 뒤였다. 한 금융당국 관계자는 “보유 자산 범위 내에서만 내부 장부를 운용하고, 대규모 지급·전송 시 2중·3중 검증을 거치는 것은 금융권의 기본 상식”이라며 “이번 사고는 단위 입력 오류를 걸러낼 최소한의 방지장치조차 없었다는 것을 드러낸 셈”이라고 말했다.
감독·규제 체계의 공백도 도마 위에 올랐다. 현재 국내 가상자산 업권을 직접 규율하는 법은 자금세탁 방지를 다루는 특정금융정보법과 이용자 재산 보호·부정거래 방지에 초점을 맞춘 디지털자산 이용자 보호법 정도다. 내부 장부와 실제 잔고를 어떻게 맞춰야 하는지, 어떤 수준의 전산 통제와 실시간 검증 체계를 갖춰야 하는지에 대한 구체적인 기준은 사실상 부재한 상태다.
이번 사고 직후 금융위원회는 금융정보분석원(FIU), 금융감독원, 디지털자산거래소 공동협의체(DAXA)와 함께 긴급 대응반을 꾸려 빗썸의 가상자산 보유·운영 현황과 내부 통제 시스템을 점검하는 한편, 다른 거래소들로 점검 범위를 확대하기로 했다.
한국은행에 따르면 가상자산 시장에서 신뢰가 급격히 훼손돼 대규모 동시 출금, 이른바 ‘코인런’이 발생할 경우 그 충격이 금융 시스템 전반의 유동성 불안으로 번질 수 있는 만큼, 시스템 리스크 관리 차원에서 제도 보완이 시급한 상황이다.
빗썸은 잘못 지급된 비트코인을 시장가에 던졌다가 손실을 본 투자자에게 손실액의 110%를 보상하고, 사고 시간대에 접속했던 전체 이용자에게 2만원 상당을 지급하는 동시에 1주일간 전 종목 거래 수수료를 면제하겠다고 밝혔다. 그러나 가상자산 시장 일각에서는 “장부상 코인을 얼마든지 만들어 유통시킬 수 있는 구조가 확인된 이상, 단순 보상과 이벤트로 신뢰를 회복하긴 어렵다”며 냉담한 반응을 보이고 있다. 국회와 정부가 추진 중인 디지털자산 2단계 입법 논의에서도 이번 사태가 거래소 장부 관리와 실보유 검증 의무, 전산 사고 시 거래소의 무과실 책임 명문화 등 규제 강화를 촉발하는 계기가 될 것이란 관측이 나온다.
