빗썸 사고로 본 거래소 민낯…내 코인 안전할까?[점선면]

점(사실들): 어쩌다 통장에 2000억원 꽂혔나
선(맥락들): 보유한 코인은 4만개, 지급된 62만개?
면(관점들): ‘제2의 쿼드리가 사건’ 막으려면

비트코인. 경향신문 자료사진

어느 날 이벤트에 당첨돼 2000원이 입금될 예정이었는데, 내 계좌에 2000억원이 입금됐다면 어떨까요? 249명에게 실제로 이 같은 일이 일어났습니다. 국내 가상자산 거래소 빗썸의 실수로 이벤트 당첨자에게 각각 2000원이 아닌 비트코인 2000개가 잘못 지급되는 일이 벌어진 겁니다. 국내 2위 규모인 대형 거래소에서 어떻게 이런 황당한 일이 벌어지게 된 걸까요? 내가 산 코인을 대신 보관해주고 있는 거래소를 정말 믿어도 되는 걸까요? 오늘 점선면에서는 빗썸의 비트코인 오지급 사태는 왜 벌어진 것이고, 우리가 이 사태에서 얻어야 할 교훈은 무엇인지 알기 쉽게, 꼼꼼히 정리해드릴게요.

점(사실들): 어쩌다 통장에 2000억원 꽂혔나

빗썸은 지난 6일 오후 7시 ‘랜덤박스’ 이벤트 당첨자 249명에게 1인당 현금 2000원~5만원씩, 총 62만원의 당첨금을 지급할 예정이었습니다. 그런데 담당자가 화폐 단위를 ‘원(KRW)’이 아닌 ‘비트코인(BTC)’으로 입력해버린 겁니다. 담당자의 실수로 62만원이 아닌 비트코인 62만개가 지급됐어요. 지급 시점 기준 비트코인 1개의 가격은 9764만원. 비트코인 62만개의 원화가치는 총 60조5000억원에 달합니다. 당첨자 계좌엔 1인당 비트코인 평균 2490개(2440억원 상당)가 꽂혔습니다.

계좌를 확인한 일부 당첨자들이 비트코인을 팔아치우기 시작했습니다. 갑자기 팔겠다는 물량이 쏟아지자 빗썸 내 비트코인 가격은 불과 5분 만에 9700만원대에서 8100만원대까지 17%가량 급락했습니다. 이 과정에서 ‘가격이 일정 수준 이하로 떨어지면 자동으로 팔아달라’고 설정해둔 투자자들의 ‘손절매 주문’까지 연쇄적으로 체결됐습니다. 가만히 있던 투자자들도 마른하늘에 날벼락 같은 손실을 본 셈입니다.

빗썸 측이 사고를 알아차린 건 20분이 지난 오후 7시20분이었습니다. 거래와 출금을 막는 조치는 7시40분에야 완료됐습니다. 빗썸은 잘못 입력된 장부 숫자를 고치는 방식으로 99.7%의 코인을 회수했지만, 아직 125개의 비트코인은 돌려받지 못했습니다. 빗썸은 이 코인을 가진 당첨자들에게 연락해 자진 반납을 해달라고 설득 중입니다. 당첨자 중 일부는 비트코인을 판 돈 30억원을 이미 현금으로 인출한 것으로 전해졌어요.

잘못 들어온 돈을 써버린 이들에게 법적 책임을 물을 수 있을까요? 금융당국은 “비트코인을 직접 사서 빗썸에 돌려줘야 한다”는 입장입니다. 이찬진 금융감독원장은 어제(9일) 기자간담회에서 “원물 반환이 원칙”이라며 “애초 이벤트로 1인당 2000원씩 당첨금을 주겠다고 고지한 만큼 부당이득 반환 대상은 명백하다”고 밝혔습니다.

이찬진 금융감독원장이 9일 서울 영등포구 여의도 금융감독원에서 2026년 업무계획을 발표한 뒤 기자 질문을 들으며 메모하고 있다. 연합뉴스

선(맥락들): 보유한 코인은 4만개, 지급된 62만개?

진짜 문제는 따로 있습니다. 빗썸이 실제 금고에 보관 중인 것보다 훨씬 많은 코인을 당첨자들에게 뿌렸다는 점입니다. 비트코인 62만개는 전 세계 총 발행량(2100만개)의 3%에 달하는 엄청난 양입니다. 빗썸 자체 보유분 175개와 고객이 맡긴 4만2619개를 합쳐봐야 4만2000여개에 불과한데 말이죠. 이 때문에 ‘유령 코인’ 논란이 불거졌습니다.

갖고 있지도 않은 코인이 지급될 수 있었던 건 거래소의 독특한 운영 방식 때문입니다. 가상자산 거래소는 크게 ‘중앙화 거래소(CEX)’와 ‘탈중앙화 거래소(DEX)’로 나뉩니다. 중앙화 거래소는 은행처럼 회사가 내 코인을 대신 맡아주는 방식이고, 탈중앙화 거래소는 관리자 없이 개인끼리 직접 코인을 주고받는 방식입니다.

우리가 빗썸 같은 중앙화 거래소를 주로 쓰는 건 편리함 때문입니다. 아이디와 비밀번호만 있으면 빠르게 거래할 수 있고, 비밀번호를 잊어도 고객센터가 해결해주죠. 반면 탈중앙화 방식은 내 코인을 내 지갑에 직접 보관해 횡령이나 오지급 사고로부터 안전하지만, 사용법이 어렵고 비밀번호를 잃어버리면 코인을 영영 찾을 수 없습니다.

이번 사태는 우리가 편리함 때문에 선택한 중앙화 시스템이 얼마나 취약한지 보여줬습니다. 첫 번째 문제는 60조원이라는 거액이 아무런 승인 절차 없이 지급됐다는 점입니다. 보통 은행은 큰돈이 움직일 때 여러 단계의 확인을 거치지만, 빗썸은 담당자 실수 한 번에 시스템이 뚫렸습니다.

두 번째 문제는 ‘장부상의 숫자’와 ‘실제 코인’이 달라도 지급이 가능했다는 점입니다. 거래소 내부자가 마음만 먹으면 장부 숫자를 부풀려 돈을 빼돌릴 수 있다는 민낯이 드러난 겁니다. 황석진 동국대 국제정보보호대학원 교수는 “빗썸은 평소 50개 이상의 이상 거래를 탐지한다고 했지만, 이번에 2000여개가 입금되는 상황은 잡아내지 못했다”며 “이는 가상자산 거래소 전체의 구조적인 문제”라고 지적했습니다.

강남구 빗썸라운지의 전광판. 연합뉴스

면(관점들): ‘제2의 쿼드리가 사건’ 막으려면

비트코인은 이제 ‘디지털 금’이라 불리며 달러나 금 같은 안전자산 대접을 받습니다. 한국금융소비자보호재단의 조사에 따르면, 성인 절반 이상(54.7%)은 가상자산을 현재 보유하고 있거나 과거에 보유한 적이 있을 정도입니다. 이번 사태로 우리가 ‘디지털 금’을 믿고 맡겼던 금고가 얼마나 허술하게 관리됐는지가 드러났습니다. 정부가 거래소의 보관 실태를 전면 감독해야 한다는 목소리가 커지는 이유입니다.

캐나다 최대 가상자산 거래소였던 ‘쿼드리가CX’ 사건을 알고 계신가요? 창업자 제럴드 코튼이 2018년 돌연 사망했는데, 문제는 고객 코인이 든 금고 비밀번호를 그 혼자만 알고 있었다는 겁니다. 결국 고객 11만명의 자산 1억9000만캐나다달러(당시 1700억원)가 미궁에 빠졌죠. 조사 결과 그는 장부를 조작해 고객 돈을 횡령하고 있었습니다. 쿼드리가 사건은 규제 없는 거래소의 끝이 어디인지 잘 보여줍니다. 빗썸이 조금만 더 늦게 대처했다면 직원 1명의 실수가 거래소 파산으로 이어졌을지도 모릅니다. 이번 사태가 주는 경고, 결코 잊지 말아야겠습니다.

캐나다 비트코인 최대 거래소 ‘쿼드리가CX’ 제럴드 코튼 대표. 쿼드리가 사건을 다룬 넷플릭스 다큐멘터리 <아무도 믿지 마라>의 스틸컷. 넷플릭스 제공

“하나를 보더라도 입체적으로” 경향신문 뉴스레터 <점선면>의 슬로건입니다. 독자들이 생각해볼 만한 이슈를 점(사실), 선(맥락), 면(관점)으로 분석해 입체적으로 보여드립니다. 매일(월~금) 오전 7시 하루 10분 <점선면>을 읽으면서 ‘생각의 근육’을 키워보세요.

<점선면>의 다른 뉴스레터가 궁금하시다면 구독을 눌러주세요! ▶ https://buly.kr/AEzwP5M

유설희 기자 sorry@kyunghyang.com