'비트코인 4만개' 빗썸, 어떻게 62만개 지급?…'부실 시스템' 총체적 난국

(서울=뉴스1) 최재헌 전준우 기자 박현영 블록체인전문기자 = 사상 초유의 비트코인 62만 개(60조원대) 오지급 사태는 가상자산 거래소 빗썸의 허술한 내부통제 시스템이 총체적으로 드러난 인재다. 한 번의 결재로 64조 원 규모의 자산 이동이 가능해 오기입 오류를 잡지 못 한 데다, 보유 비트코인이 4만여 개에 불과한 빗썸에서 어떻게 62만 개나 지급이 가능했는지 '유령코인' 논란도 불거졌다. 빗썸은 사고 발생 20분 후에야 인지했고, 그 사이 비트코인 1786개가 한꺼번에 팔리며 가격이 급락하는 등 시장 혼란을 야기했다.

8일 금융당국과 업계에 따르면 이번 사고는 랜덤박스 이벤트 에어드롭 과정에서 발생했다. 랜덤박스 이벤트는 2024년부터 운영돼 온 프로모션으로, 이용자가 상자를 열면 최소 2000원에서 최대 5만 원 상당의 보상을 받는 구조다.

지난 6일 오후 7시쯤 빗썸이 고객 확보 목적의 이벤트 참여 이용자(695명)에 대한 보상금 지급 과정에서 1인당 2000원이 아닌 비트코인 2000개(약 1970억 원)을 294명에게 잘못 지급했다.

빗썸은 사고 발생 후 20분 후에야 인지했고, 40분까지 계좌 동결 조치를 완료하는 사이 비트코인 1786개가 매도되면서 거래소 내 비트코인 가격이 일시 급락했다.

빗썸에 따르면 7일 오전 4시 기준 오지급된 비트코인 62만 개 중 61만 8214개(99.7%)는 거래 전 회수했고, 이미 매도된 비트코인 1786개에 대해서는 약 93%를 회수했다.

나머지 125개는 아직 회수되지 못한 상태다. 일시적 시세 급락에 보유 비트코인 '패닉셀'에 나선 일부 투자자들이 억울하게 피해를 입었고 빗썸 측이 추산한 이같은 고객의 현재 손실금액은 약 10억 원 규모다.

회사 측은 "가격 급락 과정에서 패닉셀에 나선 투자자들의 손실을 산정한 결과 약 10억 원 내외로 파악된다"며 "이는 단순 오지급 총액이 아니라 가격 변동 과정에서 발생한 순손실을 기준으로 한 추산치"라고 설명했다.

이번 사고의 가장 큰 원인은 비정상적인 거래나 수치가 포착돼도 이를 차단하는 시스템이 제대로 작동되지 않았다는 점이다.

빗썸의 비트코인 보유량이 5만 개도 채 되지 않는데, 이를 크게 웃도는 62만 개의 비트코인이 정상 자산처럼 인식되고, 실제 294명에게 지급이 이뤄졌다. 지난해 3분기 말 기준 빗썸이 보유하고 있는 비트코인은 175개, 회원 위탁 비트코인은 4만 2619개에 그친다.

더불어민주당 디지털자산태스크포스(TF) 자문위원을 맡고 있는 김종승 엑스크립톤(xCrypton) 대표는 뉴스1과의 통화에서 "빗썸이 보유한 코인 규모 이상으로 거래된 거 아니냐는 합리적인 의심이 들 수밖에 없다"며 "예를 들어 평상시에 비트코인 100만 개를 거래소가 갖고있다고 치면, 그 안에서 유통·매매 다 이뤄지는건데 이를 초과한 금액이 데이터베이스(DB)에 기록될 수 있다는 것은 그동안 이러한 상황을 확인하는 장치가 아예 없었다는 의심이 들 수 밖에 없다"고 말했다.

이 같은 문제가 발생한 이유는 거래소 자산 관리 시스템 허점 때문이다.

특정금융정보법(특금법)상 거래소들은 고객 자산의 100% 이상을 보유하고 있으나 보안을 위해 80%는 콜드월렛(오프라인) 지갑에 보관한다. 콜드월렛에서 지급 수량을 시시각각 출금하기 어려워 우선 거래소 내부 데이터베이스에 반영하고, 추후 지갑에서 출금해 자산 수량을 맞추는 구조다.

이에 보상 수량이 실제 지갑에서 출금되기 전에 내부 전산에 먼저 반영되면서, 빗썸이 보유한 자산보다 훨씬 더 많은 물량이 이벤트 보상으로 지급됐다.

막대한 보유 자산을 담당 직원 1명이 제3자에게 지급 가능하도록 한 업무 절차도 짚고 넘어갈 대목이다. 이번 사고는 당첨금 단위를 '원'이 아닌 '비트코인'으로 잘못 설정해 입력한 전형적인 '팻핑거(Fat Finger·주문 입력 실수)'인데, 이를 사전에 통제할 수 있는 시스템이 없었다.

내부 결재 프로세스 또한 문제로 지적된다. 빗썸은 이날 공지에서 "고객 자산 이동 및 리워드 지급 시, 2단계 이상의 결재가 실행되도록 일부 누락됐던 프로세스를 보완하겠다"고 밝혔다.

해당 공지에 따르면 이번 이벤트 보상 지급 과정에선 2단계 이상의 결재가 이뤄지지 않았다는 의미다. 결재 한 번 만으로 자산이 지급될 수 있는 구조 자체가 문제라는 지적이 나온다.

금융당국은 전날 오후 긴급대응반을 꾸리고 후속 조치에 나섰다.

권대영 부위원장은 "이번 사태를 가상자산의 취약성, 리스크가 노출된 사례로 엄중하게 바라보고 있다"며 금감원에 이용자 피해 현황 등을 면밀히 파악하라고 주문했다.

특히 금융당국은 이번 비트코인 오지급 사태를 계기로 여타 거래소에 대해서도 가상자산 보유·운영 현황과 내부통제 시스템 등을 점검할 계획이다.

이 과정에서 필요한 경우에는 보유한 가상자산 현황 등을 밀착 모니터링할 수 있도록 시스템 개선 등도 강구하겠다는 방침이다.

chsn12@news1.kr