비트코인 175개 보유한 빗썸, 유령코인 62만개 뿌려… ‘장부상 거래’ 구조 탓

[61조원 비트코인 오지급 파문]
실제 자산 아닌 장부 잔액만 변경… 외부 해킹-내부 시세조종 등 취약
업비트는 보유량 이상 거래 막아… 통제장치 없던 빗썸, 위험 고스란히

국내 2위 가상자산거래소 빗썸이 비트코인 자체 보유량(175개)의 3500배가 넘는 ‘유령 코인’을 고객들에게 뿌릴 수 있었던 이유는 장부에서 거래가 되는 ‘중앙화 거래소(CEX)’의 특성 때문으로 분석된다. 여기에 이런 장부상 거래를 다층적으로 검증하는 내부 통제 장치가 미비했던 것으로 보인다.

중앙화 거래는 고객이 넣어 놓은 가상자산을 자체 지갑에 보관한 뒤 매매가 이뤄질 때 블록체인에 직접 기록하지 않고, 장부상 잔액만 변경하는 식으로 운영된다. 빗썸뿐만 아니라 국내 1위 가상자산거래소 업비트, 세계 최대 규모인 바이낸스 등도 이 방식이다. 참여자가 많아 거래 체결 속도가 빠른 데다 수수료가 낮다는 평가를 받아 대중적인 서비스로 자리매김했다.

이는 개인 지갑을 서로 연결해 블록체인상 스마트 계약으로 가상자산을 거래하는 방식인 ‘탈중앙화 거래소(DEX)’와 다르다. DEX는 자산을 고객 스스로 통제할 수 있고 해킹 위험이 낮다는 평가를 받는다. 해외 거래소인 팬케이크스왑, 유니스왑 등이 이렇게 운영된다.

중앙화 거래는 거래소가 실질적으로 고객 자산을 이동시킬 수 있다. 그러다 보니 이번 오지급 사건처럼 마케팅 명목으로 고객 장부에 비트코인을 기재했다가 삭제하는 게 가능하다. 외부 해킹이나 내부 부정행위 등에도 취약하다. 이번 사고로 한두 사람의 실수로 거래소가 실제 보유한 물량과 장부상 수량 간에 차이가 발생해도 통제하지 못하는 한계가 적나라하게 드러났다.

중앙화 거래가 전부 문제인 건 아니다. 같은 방식으로 거래하는 업비트는 2017년부터 자신들이 보유한 수량보다 많은 수량을 거래할 수 없도록 차단하고 있다. 빗썸엔 이런 통제 장치가 없었다. 빗썸의 허술한 내부 통제가 고스란히 드러난 셈이다.

빗썸은 사고 발생 직후 ‘다중 결재 시스템’을 재발 방지책으로 내놨다. 빗썸이 고객 자산을 이동하거나 당첨금을 지급할 때 2단계 이상을 거쳐야 결재가 되도록 하겠다는 얘기다. 바꿔 말하면 그동안은 마케팅 담당자가 클릭 한 번으로 61조 원가량의 돈을 지급할 수 있었던 셈이다. 금융권에서는 빗썸이 이런 장치를 진작에 갖췄어야 한다고 지적한다.

가상자산 거래소 직원이 실수가 아니라 고의로 장부에 손을 댈 경우, 악의적으로 시세를 조종하는 것은 물론이고 거액의 시세 차익을 챙길 수도 있다는 비판이 나온다. 업계 관계자는 “빗썸 같은 큰 거래소도 유령 거래가 일어나는데, 그보다 작은 거래소에 어떻게 신뢰를 기대할 수 있겠냐”고 반문했다. 빗썸 측은 비정상적인 거래나 수치가 포착되면 즉각 감지해 사고를 차단할 수 있는 ‘세이프 가드’를 24시간 가동하겠다는 입장이다.

금융위원회는 8일 이날 빗썸 사태 관련 점검 회의를 열고 이 같은 문제점을 점검했다. 이억원 금융위원장은 “이번 사태를 계기로 가상자산 거래소의 구조적 취약점이 드러난 만큼, 빗썸뿐만 아니라 모든 거래소의 내부통제 전반을 점검하고 적절한 체계를 마련하라”고 지시했다. 정부와 여당이 디지털자산 2단계 입법안을 막판 조율 중인 가운데 이번 사태로 금융사에 준하는 내부통제 기준 마련 의무를 거래소에 부과하고, 코인 발행과 유통 관련 규제 강화가 추진될 것이라는 관측이 나온다.

한정애 더불어민주당 정책위 의장은 “대규모 자산이 이동함에도 상급자 결재나 다중 확인 절차가 작동되지 않는 운영 방식과 내부통제 미비 등 짚어야 할 문제가 너무나 많다”고 지적했다.

신무경 기자 yes@donga.com