수십조 원 규모의 비트코인이 순식간에 생겼다 사라지는 초현실적 장면이 국내 2위 가상자산 거래소 빗썸에서 벌어졌다. 1인당 2000억원씩 총 62만 개의 비트코인이 695명의 계좌에 찍혔다가 35분 만에 회수됐다. 60조원이 넘는 가상자산이 허공에서 생성돼 유통됐다가 사라진 것이다. 단순 입력 실수라는 해명에도 불구하고, 거래소 내부 장부만으로 코인을 만들어내고 회수할 수 있는 구조가 고스란히 노출되면서 빗썸의 내부 통제와 신뢰 관리 능력에 대한 비판이 거세지고 있다. 제도권 금융에서 있을 수 없는 일이 빗썸에선 벌어졌다는 점에서 사태가 심상찮다. 
사고는 지난 6일 오후 7시 빗썸이 진행한 랜덤박스 이벤트 당첨금 지급 과정에서 터졌다. 2000원에서 5만원 상당의 보상금을 지급하려던 빗썸은 지급 단위를 '원'이 아닌 '비트코인(BTC)'으로 잘못 입력했다. 그 결과 1인당 평균 2490개, 시가 2440억원 상당의 비트코인이 지급됐다. 당시 비트코인 시세는 개당 9800만원 수준이었다.
빗썸이 지난해 3분기 공시한 비트코인 보유량은 회사 자산 175개, 회원 자산 4만2619개로 총 4만2794개였다. 최근 보유량도 4만6000개 수준으로 추정된다. 그런데 어떻게 실제 보유량의 12배가 넘는 62만 개를 지급할 수 있었을까. 빗썸 앱에 표시된 내부 비트코인 유통량은 평소 4만6000개 수준에서 순식간에 66만5000개로 치솟았다. 전 세계 비트코인 총발행량 2100만 개의 약 3%에 해당하는 막대한 물량이 거래소 내부 장부에 등장한 셈이다.
오지급을 확인한 일부 이용자들은 즉시 매도에 나섰다. 수천억원 규모의 물량이 쏟아지자 빗썸 내 비트코인 가격은 오후 7시 30분께 8111만원까지 급락했다. 글로벌 시세 대비 16% 이상 괴리가 벌어진 것이다. 시세 폭락에 패닉에 빠진 투자자들의 투매가 이어졌고, 자동 손절매가 걸린 계좌에선 저가 매도가 연쇄적으로 발생했다. 빗썸은 오후 7시 40분쯤에야 입출금을 차단했다.
이번 사고는 중앙화 거래소의 '장부 거래' 구조가 지닌 취약성을 적나라하게 드러냈다는 평가를 받는다. 빗썸 같은 중앙화 거래소는 이용자가 입금한 가상자산을 자체 지갑에 보관한 뒤 매매가 발생할 때마다 블록체인에 기록하지 않고 내부 장부상 숫자만 변경하는 방식으로 거래를 처리한다. 블록체인 없이 데이터베이스(DB)상 숫자만 바꾸는 방식이다. 속도와 편의성, 수수료 측면에선 유리하지만, 시스템 오류나 내부 통제 실패가 발생할 경우 실제 보유 자산과 장부상 수량 사이에 심각한 괴리가 생길 수 있다는 치명적 약점이 있다.
문제는 빗썸이 그간 이용자 신뢰 확보를 위해 '실제 보유 수량이 장부상 수량보다 많다'는 점을 강조해왔다는 데 있다. 빗썸은 지난해 재무실사 보고서를 통해 장부상 전체 가상자산 수량보다 실제 보유량이 1.4% 더 많다고 밝혔고, 비트코인 역시 수만 개를 초과 보유하고 있다고 설명해왔다. 그러나 이번 사고로 장부상 수량이 실제 보유량의 12배 이상까지 치솟았다가 아무런 제약 없이 되돌려질 수 있다는 사실이 드러나면서 이런 설명은 설득력을 잃었다.
빗썸은 오지급된 62만 개 중 99.7%인 61만8214개를 회수했다고 밝혔다. 이미 매도된 1786개에 대해선 93%만 회수한 것으로 파악됐다. 회수는 블록체인상 실물 이동 없이 내부 데이터베이스를 수정하는 방식으로 이뤄졌다. 장부상 수치를 조정해 상황을 정리한 것이다. 회수하지 못한 물량은 회사 보유 자산으로 충당하겠다고 했지만, 문제의 본질은 따로 있다.
이용자들 사이에서는 "거래소 내부에서 사실상 돈 복사가 가능하다는 점이 확인됐다", "실제 출금만 막히면 장부상으로는 얼마든지 코인을 만들어낼 수 있는 것 아니냐"는 불신이 확산하고 있다. 특히 외부에서는 거래소 내부 장부 상태를 실시간으로 검증할 수 없는 만큼 내부인이 고의로 장부상 코인을 생성해 유통해도 이용자로선 인지할 방법이 없다는 우려가 깔렸다.
업계에서는 이번 사고를 제도권 금융 기준으로는 상상하기 어려운 사건으로 본다. 실제 보유하지 않은 자산이 대규모로 계정에 찍히고, 일부가 시장에서 거래됐다는 점만으로도 내부 통제 시스템이 사실상 무력화됐다는 것이다.
보다 큰 문제는 내부 통제 시스템의 부재다. 코인이 잘못 지급되는 즉시 이상 탐지 경고가 떠야 하는데 그런 시스템이 전혀 작동하지 않았단 지적이 나온다. 지출 전 잔고 확인이라는 기본적인 전산·행정 절차조차 작동하지 않았다는 점에서 심각성을 더한다. 빗썸은 직원의 단순 입력 실수라고 해명했지만 직원 하나가 실수해도 2~3차 검증·승인 과정을 거쳐야 정상이란 점에서 설득력을 잃는다. 실시간 잔고 검증과 이중·삼중의 입력 통제 장치가 제대로 작동했다면 발생하기 어려운 사고였다는 점에서 비판의 초점은 빗썸의 관리 체계로 향하고 있다.
빗썸은 "지갑에 보관된 코인 수량은 엄격한 회계 관리로 고객 화면에 표시된 수량과 100% 동일하게 유지되고 있다"고 해명했지만, 사고 발생 당시 수십조 원 규모의 비트코인이 장부에 등장했다는 사실 자체는 부인하지 못했다.
금융당국은 사태를 심각하게 보고 있다. 금융위원회와 금융감독원, 금융정보분석원은 긴급 점검회의를 열고 빗썸 대표를 소환했다. 권대영 금융위 부위원장은 이번 사태를 "가상자산의 취약성과 리스크가 노출된 사례"로 규정하며 강하게 질타했다. 금융당국 관계자는 "단순한 전산 장애를 넘어 내부통제 시스템 전반의 부실이 의심되는 상황"이라며 "피해 규모가 워낙 크고 시장 신뢰를 훼손한 만큼 철저히 사고 경위를 파악하겠다"고 밝혔다.
금융감독원은 이찬진 원장 주재로 긴급 대응회의를 연 뒤 현장 점검반을 급파했다. 금융위·금감원·FIU·디지털자산거래소 공동협의체는 긴급대응반을 구성해 빗썸은 물론 전체 거래소의 가상자산 보유·운영 현황과 내부통제 시스템을 전수 점검하기로 했다.
빗썸은 뒤늦게 패닉셀로 손해를 본 고객에게 매도 차익 전액과 10% 추가 보상을 지급하고, 사고 시간대 접속자 전원에게 2만원을 지급하며, 일주일간 전 종목 거래 수수료를 면제하고, 1000억원 규모의 '고객 보호 펀드'를 조성하겠다고 발표했다. 모두 ‘사후 땜질’이다.
이번 사태는 가상자산 시장 전반의 신뢰 문제로도 번지고 있다. 한국은행을 비롯한 금융당국은 가상자산 시장의 신뢰 훼손이 대규모 동시 출금 사태, 이른바 '코인런'으로 이어질 경우 시장 불안이 금융 시스템 전반으로 확산될 수 있다고 지속적으로 경고해왔다. 정치권에서도 디지털자산기본법 2단계 입법 논의 과정에서 거래소의 자산 관리와 내부 통제에 대한 규제를 강화해야 한다는 목소리가 다시 힘을 얻고 있다. 그동안 금융위는 거래소가 공공 인프라이기 때문에 대주주 지분 제한을 해야 한다는 입장이었다. 이번 사고로 금융위 입장에 힘이 실릴 것으로 보인다. 거래소에 대한 금융당국의 관리·감독·통제도 강화될 것으로 전망된다. 스테이블코인 발행에도 브레이크가 걸릴 가능성이 있다.
중앙화 거래소의 편의 뒤에 가려졌던 위험이 한순간에 수면 위로 드러났다는 점에서 책임 소재와 제도적 보완을 둘러싼 논란이 당분간 이어질 것으로 보인다.