빗썸의 비트코인(BTC) 오지급 사태가 시장과 이용자 신뢰에 남긴 파장을 짚어봅니다.

가상자산거래소 빗썸에서 발생한 이번 비트코인(BTC) 오지급 사태는 단순한 운영상의 해프닝을 넘어 국내 가상자산 시장의 보안과 내부 관리 체계가 얼마나 취약한지를 여실히 드러냈다.

이달 6일 발생한 이번 사고에서 가장 충격적인 대목은 담당자의 '입력 실수'가 지급으로 이어졌다는 점이다. 특히 오지급된 수량이 비트코인 전체 발행량(2100만BTC)의 3%에 달하는 62만BTC라는 점에서 수조원의 자산을 관리하는 대형 거래소의 내부 시스템이 무력화될 수 있음을 시사한다.

차단까지 걸렸던 시간 40분

이번 사태의 본질은 사람이 숫자를 잘못 입력했다는 데서 끝나지 않는다. 핵심은 상식적으로 납득하기 어려운 규모의 자산이 단 한 번의 입력 또는 명령으로 고객 계정에 지급될 수 있었던 검증 절차의 부재다.

일반적으로 금융권은 거액 이체 시 지급 한도를 두거나 여러 단계 승인을 거치는 다중 승인 체계를 운용한다. 반면 이번 사례에서는 이벤트 보상으로 책정된 금액을 훨씬 웃도는 규모가 별다른 차단 장치 없이 통과한 것으로 보인다.

사고 이후 대응 과정도 허점을 드러냈다. 빗썸 공지에 따르면 이달 6일 오후 7시 보상이 지급된 뒤 이상 징후를 인지하기까지 20분이 걸렸다. 실제 입출금 차단까지는 40분이 소요됐다.

62만BTC는 시세에 따라 수십조원대로 평가될 수 있는 금액이다. 이런 규모의 지급이 담당자 입력값 하나로 좌우될 수 있었다면 빗썸의 내부 통제 수준에 대한 비판을 피하기 어렵다.

무용지물이었던 FDS

가장 뼈아픈 지점은 빗썸이 강조해 온 이상거래탐지시스템(FDS)의 실효성이다. 빗썸은 FDS로 이상 징후를 포착해 대응했다고 설명했지만 결과적으로 차단 완료까지 40분이 걸렸다. 이에 FDS가 실시간 차단이라기보다 사후 대응에 가까웠다는 지적이 나온다.

전통 금융권에서는 이상 거래가 감지되면 시스템이 자동으로 셧다운되거나 임계치 이상의 거래를 잠정 보류하는 등 능동적 방어 체계를 갖춘다. 반면 빗썸은 사실상 인적 개입을 통한 사후 조치에 의존하는 한계를 보였다. 이번 사태를 계기로 실시간 모니터링과 자동 차단 프로세스를 근본적으로 고도화해야 한다는 지적이 나오는 이유다.

빗썸은 사태 이후 내부 통제 시스템을 고도화하고 프로세스를 재설계하겠다고 밝혔다. 다만 '소 잃고 외양간 고치기'에 그치지 않으려면 왜 이처럼 큰 규모의 오지급 가능성을 사전에 걸러낼 안전장치가 작동하지 않았는지부터 점검해야 한다는 지적이 나온다.

빗썸 측은 "이번 사안으로 인해 고객 자산 손실이나 피해는 발생하지 않은 것으로 파악된다"면서도 "다만 모든 후속 조치 과정은 투명하게 공유드리며 단 한 분의 고객도 피해를 입지 않도록 끝까지 책임질 것"이라고 말했다.

강준혁 기자