빗썸, 보유량 12배 비트코인 잘못 지급 … 장부거래 취약성 드러나

빗썸, 고객에 56조원 규모 오지급 초유 사고
249명에 2천원씩 지급하려다
1인당 2천 코인, 62만개 지급
실제 자산이 이동하는게 아닌
장부 숫자만 바뀌는 구조 탓
당국, 거래소 시스템 긴급 점검
빗썸, 미회수 코인 1788개 매수

지난 6일 빗썸에서 발생한 사상 초유의 '56조원 비트코인 오입금 사태'가 회사 측의 대규모 자금 투입으로 일단 급한 불은 꺼졌다.

빗썸은 사고 발생 이틀 만인 8일 오지급된 비트코인 중 이미 시장에 매도되어 회수가 불가능해진 1788개 비트코인(약 1600억원 상당)을 회사 보유 자산으로 충당해 고객 자산 정합성을 100% 확보했다고 밝혔다.

앞서 6일 저녁 7시께 국내 2위 가상자산 거래소 빗썸에서 이벤트 당첨금으로 지급하려던 '2000원'이 담당 직원의 입력 실수로 '2000비트코인(BTC)'으로 둔갑해 고객 계좌에 입금되는 사태가 벌어졌다. 249명의 당첨자에게 잘못 지급된 비트코인은 총 62만개로 당시 시세로 약 56조원(400억달러)에 달하는 천문학적 규모다.

8일 빗썸에 따르면 오지급된 총 62만개 비트코인 중 99.7%는 당일 사고 발생 35분 만에 출금을 동결하고 즉시 회수했다. 문제는 고객이 오입금 사실을 인지하고 곧바로 시장에 내다 판 나머지 0.3%의 물량이었다.

빗썸 측은 "이미 매도된 1788BTC는 회사 보유 자산을 투입해 고객 예치 자산과 거래소 보유 자산 간 100% 정합성을 확보했다"고 설명했다. 이는 빗썸이 보유하고 있던 고유 계정의 비트코인을 고객 예치금 계정으로 긴급 수혈했다는 의미다. 1788BTC는 현재 시세로 1600억원이 넘는 거액이다. 빗썸은 현재 가상자산 보유량이 이용자 예치량과 일치하거나 상회하는 수준으로 관리되고 있다며 "안전성에는 문제가 없다"고 강조했다.

만약 자본력이 부족한 중소형 거래소에서 이 같은 사고가 발생했다면 곧바로 '뱅크런'과 파산으로 이어질 수 있던 아찔한 상황이었다. 이번 비트코인 오입금 사태는 단순한 '팻 핑거'(입력 실수) 해프닝을 넘어 중앙화 거래소(CEX) 시스템의 구조적 취약점을 드러냈다는 지적이 나온다.

이번 사태에서 투자자들이 던진 의문은 '빗썸이 보유하지도 않은 62만개의 비트코인이 어떻게 고객 계좌에 입금될 수 있었는가'다. 62만BTC는 비트코인 총발행량의 약 3%에 해당하는 물량으로 단일 거래소가 '핫월렛'(인터넷에 연결된 지갑)에 보관하는 것이 불가능에 가까운 수치다.

이에 대한 답은 CEX의 작동 방식인 '장부 거래'(오프체인)에 있다. 고객이 빗썸에서 비트코인을 매수하거나 입금받을 때 실제 비트코인 블록체인상에서 코인이 이동하는 것이 아니다.

거래소는 자체 데이터베이스상의 숫자만 변경한다. 즉, 빗썸 내부 전산망에서 '특정 고객에게 2000BTC를 지급하라'고 명령하면 실제 거래소의 보유량과 관계없이 장부상 숫자는 즉시 반영된다.

이는 은행의 전산 시스템과 유사하지만 지급준비율이나 엄격한 대사 시스템이 실시간으로 작동하는 제1금융권과 달리 가상자산 거래소의 내부통제 시스템이 상대적으로 취약하다는 점을 보여준다. 빗썸이 공지한 대로 "보유 물량을 초과하는 지급이 시스템적으로 차단되지 않은 점"이 이번 사태의 핵심 원인이다.

CEX가 블록체인 기반 '분산원장' 대신 자체 서버에서 중앙화된 '전자장부' 방식을 사용하게 된 근본 원인은 비트코인 블록체인의 기술적 특성 때문이다. 비트코인은 작업증명(PoW) 방식을 사용하며, 하나의 블록이 생성되는 데 약 10분이 소요된다. 초당 거래 처리 속도(TPS)는 7건 내외에 불과하다. 반면 이더리움, 솔라나, 리플 등 알트코인들은 상대적으로 빠른 처리 속도를 자랑하지만, 전 세계 수천만 명의 투자자가 동시에 주문을 내는 거래소의 유동성을 실시간으로 감당하기엔 턱없이 부족하다. 만약 모든 거래를 실제 블록체인(온체인)에 기록한다면, 비트코인 하나를 사고파는 데 수십 분에서 수 시간이 걸리고, 수수료(가스비)만 수만 원이 발생하게 된다.

이 때문에 빗썸과 같은 CEX는 거래 효율성과 대량 유동성 소화를 위해 자체 서버에서 거래를 처리하고, 입출금 시에만 실제 블록체인을 이용한다.

반면 탈중앙화 거래소(DEX)는 스마트 콘트랙트를 통해 거래가 이루어지므로, 거래소 지갑에 실제 코인이 없다면 애초에 지급 자체가 실행되지 않는다.

금융당국은 이번 사태를 개별 거래소의 일탈이 아닌 산업 전반의 '구조적 내부통제 부실'로 규정하고 칼을 빼 들었다. 8일 이억원 금융위원장은 '빗썸 사태 관련 점검회의'를 열고 "지급 실행 시 장부와 실제 보유 자산 간의 검증 체계가 작동하지 않은 점을 심각하게 보고 있다"며 "빗썸뿐 아니라 모든 가상자산 거래소의 내부통제 시스템 전반을 점검하라"고 지시했다.

당국은 우선 디지털자산거래소공동협의체(DAXA)를 중심으로 모든 거래소의 자산 검증 체계와 인적 오류 제어 장치를 긴급 점검하기로 했다. 금융감독원은 이 결과를 토대로 즉각적인 현장 검사에 착수할 예정이다.

또 금융위는 추진 중인 '디지털자산 2단계 입법'을 통해 거래소에도 기존 금융회사에 준하는 강력한 내부통제 의무를 부과하겠다고 밝혔다. 전산 사고 등으로 이용자 피해가 발생하면 사업자의 고의·과실을 따지지 않고 배상 책임을 지우는 '무과실 책임' 규정 도입도 포함됐다. 외부 기관으로부터 가상자산 보유 현황을 주기적으로 점검받도록 의무화해 '장부 거래'의 투명성을 높일 방침이다.

창사 이래 최대 위기를 맞은 빗썸은 파격적인 보상안을 내놓았다. 이재원 대표는 사과문을 통해 △사고 시간대 매도 고객에 대한 차액 전액 및 10% 추가 보상(110% 보상) △전 고객 대상 거래수수료 7일간 무료 △1000억원 규모의 고객 보호 펀드 상설화 등을 약속했다.

[안갑성 기자]