암호화폐 거래소 빗썸이 지난 6일 이벤트 보상 과정에서 비트코인(BTC) 총 62만 개를 잘못 지급한 사태가 벌어지면서 파장이 커지고 있다. 사진은 8일 서울 강남구 빗썸라운지 삼성점. 뉴스1

암호화폐 거래소 빗썸에서 직원의 입력 실수로 비트코인 62만개가 잘못 지급되는 초유의 사고가 발생했다. 전산상 단위 오입력 하나로 실제 존재하지 않는 ‘유령 코인’이 대거 유통되면서, 거래소의 내부 통제의 구조적 허점이 그대로 노출됐다는 평가다.

8일 암호화폐 업계에 따르면 빗썸은 지난 6일 자체 이벤트 당첨금을 지급하는 과정에서 ‘원’ 단위를 ‘비트코인’으로 잘못 입력했다. 애초 249명에게 지급될 예정이던 62만원이 62만 비트코인으로 이체됐다. 당시 시세 기준 약 60조7600억원 규모로, 1인당 평균 2490개의 비트코인이 장부상 계좌에 표시됐다. 당첨자 가운데 1명은 5만 비트코인을 받아 단숨에 자산이 4조9000억원대로 불어났다. 사고 당시 빗썸 내부 유통량은 4만6000개에서 66만5000여개로 급증했다.

이번 사태는 2018년 삼성증권의 ‘유령 주식’ 사고를 떠올리게 한다는 평가도 나온다. 삼성증권은 우리사주 배당금을 주당 1000원씩 지급하는 과정에서 직원이 배당 단위를 잘못 입력해 현금 대신 자사주 1000주를 배당하는 전산 사고를 냈다. 발행 한도를 초과한 자사주가 절차 없이 생성돼 거래되며 주가 급락과 시장 혼란을 초래했다.

사고의 핵심 원인으로는 빗썸의 내부 통제 절차가 IT 시스템에 제대로 구현되지 않았다는 점이 꼽힌다. 거래소가 실제 보유한 수량을 초과해 지급하지 못하도록 입력 단계에서부터 차단됐어야 했다는 것이다. 빗썸은 이달 6일 오후 7시20분 오지급 사실을 인지한 뒤 약 15분 후 거래·출금을 차단했으며, 이후 “2단계 이상 결재가 실행되도록 누락된 프로세스를 보완하겠다”고 밝혔다.

중앙화 거래소(CEX)의 장부 거래 구조도 사고 배경으로 거론된다. 빗썸과 같은 CEX는 고객이 입금한 암호화폐를 거래소 지갑에 보관한 뒤, 거래 시마다 블록체인에 직접 기록하지 않고 내부 장부에 숫자만 반영하는 ‘오프체인’ 방식을 쓴다. 거래 속도와 수수료 문제로 전 세계 대부분의 거래소가 채택한 구조다.

다만 암호화폐 거래소는 거래·중개·보관 기능을 한 곳에서 수행하는 단일 장부 구조라는 점에서 취약성이 크다. 주식시장은 거래소·증권사·예탁결제원으로 기능이 분리돼 장부가 상호 견제되지만, 암호화폐 거래소는 한 번 오류가 발생하면 거래와 결제 전반으로 문제가 확산될 수 있다.

지난 6일 오후 7시30분 이후 매도 물량이 나오면 빗썸 내 비트코인 시세는 다른 거래소 시세(9800만원대)보다 17%가량 낮은 8110만원까지 급락했다. 사진=빗썸

정부 역시 이런 구조적 문제를 인지하고 있다. 가상자산 이용자 보호법 1단계 입법 과정에서도 장부 거래 구조의 위험성과 자산 보관 문제에 대한 논의가 이뤄졌다. 이정수 서울대 법학전문대학원 교수는 “제3의 전문 보관업자 도입도 검토됐지만, 현실적으로 거래소보다 신뢰도가 낮아 제도화되지 못했다”고 설명했다.

정부는 지난 7일 금융위원회를 중심으로 점검회의를 열고, 긴급대응반을 구성한데 이어 8일에도 이틀 연속 회의를 열어 이용자 피해 보상 여부와 현장 점검 상황, 점검제도 개선 필요사항 등을 논의했다. 금융당국은 이번 사태를 계기로 암호화폐 거래소의 내부 통제 시스템 전반에 구조적 취약성이 드러났다고 보고, 모든 거래소를 대상으로 점검을 확대하기로 했다.

정부는 추진 중인 디지털자산기본법(2단계 입법) 논의와 연계해 금융회사에 준하는 내부 통제 기준 마련 의무를 부과하는 방안도 검토하고 있다. 외부 기관으로부터 정기적으로 보유 자산 현황을 점검받도록 하고, 전산 사고 등으로 이용자 피해가 발생할 경우 고의·과실과 무관하게 사업자 책임을 묻는 이른바 ‘무과실 책임’ 규정 도입도 논의 대상이다.

전문가들은 장부 거래(오프체인 방식) 자체는 불가피하더라도, 빗썸이 실제 보유량을 초과한 지급을 시스템적으로 차단하지 않았다면 심각한 내부 통제 미비라고 지적한다. 국내 한 블록체인 업계 관계자는 “각 거래소마다 실제 보유한 코인만큼만 이동시킬 수 있도록 하는 등 자체적으로 안전장치들을 만들어놓는다”고 설명했다.

이정수 교수는 “보유 자산과 장부상 수량이 상시 일치하도록 점검하고, 보유량을 넘는 지급은 입력 단계에서부터 불가능하게 해야 한다”고 강조했다. AI·블록체인 스타트업 눈21의 박재현 대표도 “인적 실수가 사고로 이어지지 않도록 기술로 차단하는 안전장치 없이는 시장 신뢰 회복이 어렵다”고 밝혔다.