63조 '유령 비트코인' 20분간 둥둥…"은행이 위조수표 뿌린 꼴"

국내 2위 암호화폐거래소 빗썸에서 62만 개의 ‘유령 비트코인’을 고객에게 잘못 지급하는 초유의 사고가 발생했다. 빗썸 법인이 소유한 실제 물량(175개)의 3500배가 넘는 규모다. 장부상 기재 오류로 있지도 않은 비트코인이 시스템에 반영되며 발생한 사고로 거래소 내부 통제의 구조적 취약성이 고스란히 드러났다는 지적이 나온다.

8일 업계에 따르면 빗썸은 지난 6일 오후 7시 이벤트 참여자 695명에게 1인당 2000~5만원 상당의 비트코인을 나눠주려다가 실수로 비트코인 62만 개를 지급했다. 63조원이 넘는 규모다. 빗썸은 20분 뒤 사고를 인지하고 출금을 차단했지만 일부는 회수하지 못했다.

빗썸이 이벤트 보상으로 지급한 비트코인은 자사 소유 물량에서 충당해야 했다. 빗썸 법인 보유 비트코인은 175개에 불과하다. 고객이 맡긴 4만2000개의 비트코인을 합쳐도 지급할 수 없는 수준이다.

"직원 실수로 단위 원 대신 BTC"…몇 단계 결재도 없이 집행 '충격'
고객 자산은 회사 지갑에 보관…금융위 긴급회의, 대응방안 논의

빗썸에서 발생한 ‘유령 비트코인’ 오지급 사태는 과거 국내 암호화폐거래소가 휘말린 사고와는 성격이 다르다. 해킹 등 외부 공격으로 자산이 탈취된 것이 아니라 거래소 전산 장부에 존재하지 않는 자산이 생성된 것이기 때문이다. 사고 규모로 따지면 세계 비트코인 발행량의 3%에 육박한다. 실제 비트코인 네트워크상 영향은 없었다. 하지만 거래소가 지급 능력을 수천 배 초과하는 자산을 장부상 만들면서 “은행이 위조수표를 만든 꼴”이라는 지적이 나온다. 이번 사태를 둘러싼 다섯 가지 논란과 의문점을 정리했다.

(1) 무슨 일이 있었나

이번 사태는 빗썸의 이벤트 보상 지급 과정에서 내부 전산 입력이 잘못 이뤄지면서 발생했다. 잘못 지급된 비트코인 62만 개는 거래소 내부에서 정상 자산처럼 취급되며 매매가 가능했다. 이에 따라 빗썸에서 비트코인은 순식간에 8000만원대까지 추락했다. 같은 시각 다른 거래소에서는 1억원대에 거래됐다. 해당 물량의 99.7%(61만8212개)는 사고 즉시 회수됐다. 하지만 시장에 매도된 1786개 가운데 약 125개는 아직 회수되지 못했다. 이벤트를 통해 받은 비트코인을 팔아 실제 인출된 금액은 약 30억원인 것으로 알려졌다.

(2) 어떻게 가능했나

빗썸 측은 직원이 보상 수량 단위를 ‘원(KRW)’이 아니라 ‘비트코인(BTC)’으로 잘못 입력했다고 밝혔다. 하지만 은행과 같은 일반적인 금융사에서는 거액의 자산이 이동할 때 여러 단계의 과정을 거친다. 빗썸은 사실상 특정 직원의 클릭 한 번으로 63조원이 넘는 자산이 즉시 집행되는 구조였던 셈이다. 금융권 관계자는 “2~3단계의 교차 검증만 있었어도 막을 수 있었던 인재”라며 “내부통제가 부실했다고 볼 수 있다”고 꼬집었다.

(3) 비트코인이 발행된 건가

블록체인상 비트코인이 새로 발행된 것은 아니다. 암호화폐거래소는 실제 암호화폐가 이동하지 않고 데이터베이스(DB)상 숫자만 바뀌는 ‘장부 거래’로 운영된다. 은행 앱에서 송금할 때 현금이 아닌 숫자가 오가는 것과 마찬가지다. 이런 이유로 빗썸 내 비트코인 가격만 폭락했을 뿐 글로벌 비트코인 시세에는 영향을 주지 않았다. 빗썸의 경우 실물 비트코인이 아니라 비트코인 인출권(채권)을 뿌린 셈이다. 이는 은행이 금고에 현금이 없는데도 수조원짜리 위조수표를 발행해 유통한 것과 다름없다는 지적이 제기된다.

2018년 삼성증권 ‘유령 주식’ 사태와 비슷하면서도 다른 것은 이 지점이다. 삼성증권 역시 현금 배당 과정에서 직원이 주당 1000원이 아니라 1000주를 입력하면서 발행 한도를 20배 초과하는 28억 주(112조원 규모)의 가짜 주식을 전산상에 생성했다. 발행된 유령 주식은 예탁결제원이라는 공적 시스템과 연동돼 시장 전체에서 유효한 권리로 인정받았다. 삼성증권이 이를 수습하기 위해 시장에서 진짜 주식을 사 와야 했던 이유다. 빗썸은 장부상 숫자를 수정하는 방식으로 지급 물량 대부분 무효로 할 수 있었다.

(4) 빗썸 내 실물 비트코인은 무사한가

전산 장부상 오류이기 때문에 빗썸이 보관하는 고객의 비트코인이 사라지거나 가치가 변할 일은 없다. 가짜 수표가 발행된 것이지 금고가 털린 건 아니기 때문이다. 빗썸 측도 “지갑에 보관된 코인 수량은 엄격한 회계 관리를 통해 고객 화면에 표시된 수량과 100% 동일하게 유지되고 있다”고 강조했다. 다만 이미 매도돼 외부로 유출되거나 소유권이 바뀐 125개 비트코인을 끝까지 회수하지 못하면 빗썸이 자기 자본으로 시장에서 사서 채워 넣어야 한다.

(5) 암호화폐거래소 믿을 수 있나

이번 사태를 계기로 암호화폐거래소의 신뢰 문제가 도마 위에 오를 전망이다. 거래소가 보유한 실물 자산과 장부상 수치가 언제든 괴리될 수 있다는 허점이 확인돼서다. 지난 7일 권대영 금융위원회 부위원장은 긴급 점검 회의를 열고 이번 사태에 대해 “가상자산의 취약성과 리스크가 노출된 사례”라고 말했다. 이에 따라 가상자산 보유 현황 의무 점검, 거래소 무과실 책임 등이 담긴 디지털자산기본법 제정에도 속도가 붙을 것으로 예상된다.

조미현/서형교 기자 mwise@hankyung.com