국내 가상자산 거래소 빗썸에서 사상 초유의 비트코인 대규모 오지급 사고가 발생했다. 보유량이 5만 개에도 미치지 않는 거래소가 한 번의 결재로 62만 개를 지급하면서, 내부통제와 자산관리 시스템 전반의 부실이 그대로 노출됐다는 지적이 나온다.
금융당국과 업계에 따르면 사고는 지난 6일 오후 7시쯤 진행된 이벤트 보상 지급 과정에서 발생했다. 빗썸은 고객 확보를 위해 운영해 온 ‘랜덤박스 이벤트’ 참여자 695명에게 보상을 지급하는 과정에서, 1인당 2000원을 지급해야 할 것을 비트코인 2000개로 잘못 입력했다. 이로 인해 294명에게 총 62만 개의 비트코인이 오지급됐다. 금액으로는 60조 원대에 달한다.
문제는 사고 인지와 대응까지 상당한 시간이 걸렸다는 점이다. 빗썸은 오지급 발생 후 약 20분이 지나서야 이를 인지했고, 계좌 동결 조치를 완료하기까지 40분가량이 소요됐다. 이 사이 오지급된 비트코인 중 1786개가 매도되면서 거래소 내 가격이 급락했고, 시장 전반에 일시적인 혼란이 발생했다.
빗썸은 7일 오전 기준 오지급 물량 62만 개 중 99.7%에 해당하는 61만 8214개를 거래 이전에 회수했다고 밝혔다. 이미 매도된 1786개 중에서도 약 93%를 회수했으나, 125개는 아직 회수되지 않은 상태다. 회사 측은 가격 급락 과정에서 패닉셀에 나선 일부 투자자들이 입은 순손실을 약 10억 원 규모로 추산하고 있다.
이번 사고의 핵심 원인으로는 허술한 자산 관리 시스템이 꼽힌다. 빗썸의 실제 비트코인 보유량은 회원 위탁분을 포함해도 5만 개를 넘지 않는다. 그럼에도 불구하고 이를 훨씬 초과하는 62만 개가 내부 전산상 정상 자산처럼 인식돼 지급까지 이뤄졌다. 이는 비정상적인 수치나 거래를 자동으로 차단하는 장치가 제대로 작동하지 않았음을 의미한다.
거래소 자산 관리 구조 자체의 한계도 드러났다. 특금법에 따라 거래소는 고객 자산의 100% 이상을 보유해야 하지만, 보안을 이유로 상당 물량을 콜드월렛에 보관한다. 이 과정에서 지급 내역이 실제 지갑 출금에 앞서 내부 데이터베이스에 먼저 반영되는데, 이번 사고에서는 이 구조적 허점을 통해 과도한 물량이 전산상 반영된 뒤 지급으로 이어졌다.
결재 프로세스 역시 도마에 올랐다. 이번 사고는 당첨금 단위를 ‘원’이 아닌 ‘비트코인’으로 잘못 설정한 전형적인 입력 실수였지만, 이를 걸러낼 사전 통제 장치가 없었다. 더불어 고객 자산 이동과 리워드 지급 과정에서 2단계 이상의 결재가 이뤄지지 않았다는 점도 확인됐다. 사실상 담당자 1인의 입력과 결재만으로 수십 조 원 규모의 자산 이동이 가능했던 셈이다.
금융당국은 이번 사태를 가상자산 거래소 리스크가 집약적으로 드러난 사례로 보고 긴급 대응에 나섰다. 이용자 피해 현황을 면밀히 파악하는 한편, 다른 거래소들에 대해서도 가상자산 보유·운영 현황과 내부통제 시스템 전반을 점검할 방침이다. 필요할 경우 보유 자산 현황을 상시적으로 모니터링할 수 있도록 제도와 시스템 개선도 검토할 계획이다.
이번 사고는 단순한 전산 실수를 넘어, 국내 가상자산 거래소의 자산 관리와 내부통제 체계 전반에 대한 근본적인 점검이 필요하다는 경고로 받아들여지고 있다.
About the Author
