"타 거래소 문제없나" 빗썸 오지급 사고, 실수 아닌 시스템·제도 격차

타 가상자산 거래소 "오지급 차단 시스템 갖추고 있어"

사진은 10일 서울 강남구 빗썸라운지 삼성점. /사진=뉴스1

가상자산 거래소 빗썸의 대규모 비트코인 오지급 사고를 두고 단순 인적 오류가 아닌 거래소별 지급 구조와 내부통제 시스템 차이가 만든 사고라는 지적이 나온다. 유사한 이벤트 지급 과정에서 시스템 설계와 통제 수준에 따라 사고 가능성과 범위가 크게 차이 난다는 분석이다.

10일 가상자산업계에 따르면 빗썸의 오지급 사고는 이벤트 지급 과정에서 지급 단위 입력 오류가 실제 오지급으로 이어진 것으로 밝혀졌다. 이에 업계에서는 입력 오류를 사전에 걸러낼 수 있는 통제 장치가 미흡했다는 지적이 나온다.

이벤트 지급 수량이 사전에 확보된 자산과 연동되는 구조에도 오류가 있었다는 평가다. 지갑에 보관된 실제 자산과 내부 전산 장부 간 수량을 상시 자동으로 대조·검증하는 체계가 미흡해 사전 차단 역할을 하지 못했다는 것.

시장에서는 이같은 대규모 오지급 사태가 재발생 하는 것 아니냐는 우려도 있다. 실제 대부분의 가상자산 거래소들이 비트코인 등 가상자산을 지급하는 이벤트를 다수 진행해왔기 때문이다.

그러나 타 주요 거래소들은 오지급을 구조적으로 차단하는 안전장치를 갖추고 있다는 입장이다. 시장 점유율 1위 가상자산거래소 업비트는 이벤트 지급 방식을 사전에 확보한 물량이 전용 계정에서 고객 계정으로 전송되는 구조로 설계했다. 확보된 자산 범위를 초과한 지급은 시스템상 실행 자체가 불가능하도록 했다.

블록체인 지갑(온체인)에 실제 보관된 자산과 내부 전산 장부에 기록된 자산 합계를 365일 24시간 자동 비교하는 상시 모니터링 체계도 운영 중이다. 설명되지 않는 불일치가 일정 기준을 넘을 경우 경보 발생 이후 내부 보고→ 입출금 제한→ 거래 중단 검토로 이어지는 단계적 대응 구조를 갖췄다.

코빗은 모든 거래가 출금과 입금이 반드시 일치해야 기록되는 이중원장(Double-Entry) 구조를 적용하고 있다. 이벤트 보상 역시 이벤트 지급용 계정 잔고에서 출금이 이뤄져야만 고객 계정으로 입금이 가능하다. 단일 입력 오류가 곧바로 자산 이동으로 이어지지 않도록 다중 승인 절차를 두고 온체인 보유 잔고와 은행 예치금, 내부 DB(데이터베이스) 장부 간 정합성 대사도 지속해서 수행한다.

코인원은 이벤트 지급 전 내부 장부와 실제 보유 자산을 재확인하는 절차를 거치며 자동화된 모니터링 시스템을 통해 이상 징후를 사전에 차단하는 구조를 운영하고 있다. 지급 대상 자산을 별도 계정으로 분리 관리하고 다중 부서 교차 검증을 통해 인적 오류 가능성을 낮췄다.

고팍스는 이벤트 비용 금액 크기와 관계없이 소액·고액 모두 승인 단계에서 지급 목적과 수량을 검토·합의하는 절차를 거친다. 실제 지급에 앞서 송금 테스트를 선행하고 이후 교차 검증을 거쳐 최종 송금을 집행하는 방식을 운영하고 있다.

빗썸 오지급 사고와 관련해 금융 당국도 대응에 나섰다. . /사진=뉴스1

업계에서는 이번 사고가 거래소별 시스템 투자와 내부 통제 역량 격차를 그대로 드러낸 사례라는 평가가 나온다. 현행 법과 제도상 가상자산 거래소의 이벤트 지급 절차와 장부 및 실물 자산 간 정합성 관리 등에 대해 구체적인 시스템 요건이나 운영 기준이 명시돼 있지 않다는 점도 구조적 문제로 지적된다.

금융당국도 이번 사고를 계기로 대응에 나섰다. 금융당국은 가상자산 거래소를 대상으로 내부 통제 체계 전반에 대한 점검을 진행하겠다는 입장이다. 필요할 경우 미비점에 대한 개선 권고와 함께 유사 사고 재발 방지를 위한 관리 기준을 마련하겠다는 방침이다.

빗썸 측은 "최고경영진 주도로 오지급 사고 발생 직후 원인을 공개하고 자산 회수 현황을 안내하는 동시에 이용자 보상 방안을 마련하는 등 후속 조치를 진행하고 있다"며 "이번 사안을 단순 보상에 국한하지 않고 내부 관리 체계 전반을 점검해야 할 사안으로 보고 전사적인 정비를 이어갈 것"이라고 밝혔다.

염윤경 기자 yunky23@sidae.com