'없는 코인' 62만개가 풀렸다…허술한 내부통제 원인[빗썸 오지급 사고]①

(서울=뉴스1) 박현영 블록체인전문기자 = 가상자산 거래소 빗썸에서 비트코인 62만 개가 이벤트 보상으로 오지급되는 초유의 사고가 발생했다.

중앙화 가상자산 거래소(CEX)와 금융권 전반에서 통상적으로 쓰이는 이른바 '장부 거래' 방식이 사용됐지만, 자산 보유 한도를 점검하고 차단해야 할 내부 통제 시스템이 제대로 작동하지 않으면서 사실상 '없는 자산'이 대량 지급되는 허점이 드러났다는 평가다.

8일 관련 업계에 따르면 지난 6일 빗썸에서는 이벤트 보상으로 비트코인 총 62만 개를 잘못 지급하는 사태가 발생했다.

비트코인을 잘못 지급받은 이용자 중 일부가 비트코인을 매도하면서 개당 9700만 원대에 거래되던 비트코인이 빗썸에서만 8111만 원으로 일시 하락했고, 이 시기에 불리한 조건으로 비트코인을 매도한 피해자들이 발생했다.

문제는 지난해 3분기 보고서 기준 빗썸이 보유한 비트코인이 4만 2800여개에 불과하다는 점이다. 즉, 빗썸이 보유한 비트코인 수량보다 더 많은 비트코인이 이벤트 보상으로 지급됐다.

이 같은 문제가 발생한 이유는 거래소 자산 관리 시스템 때문이다.

특정금융정보법(특금법)상 거래소들은 고객 자산의 100% 이상을 보유하고 있어야 하며 80%는 콜드월렛(오프라인 지갑)에 보관한다.

이때 콜드월렛에서 지급 수량을 시시각각 출금하기 어려우므로 우선 거래소 내부 데이터베이스에 반영하고, 추후 지갑에서 출금해 자산 수량을 맞추는 구조다. 이른바 '장부 거래'다.

따라서 빗썸에서 지급된 비트코인 62만 개는 빗썸 내부 데이터베이스에서만 반영된 코인으로, 실제 블록체인상에서 비트코인이 발행된 것은 아니다. 본래 비트코인이 발행되려면 복잡한 연산작업을 수행하는 '채굴' 과정을 거쳐야 한다.

빗썸 데이터베이스 상에만 찍힌 코인이므로 빗썸 내부에서는 매도가 가능했다. 가상자산 거래소는 거래소 하나하나가 독립된 시장이기 때문이다. 빗썸에서 매매 주문을 넣으면 빗썸에서만 거래가 체결되고, 업비트에서 주문을 넣으면 업비트에서만 거래가 체결되는 구조다.

빗썸은 사고 사실을 인지한 직후 비트코인을 지급받은 계정들을 정지시켰지만, 만약 계정이 정지되지 않았더라도 이용자들이 지급받은 비트코인을 모두 외부로 출금하는 것은 불가능했다는 얘기다. 62만 개가 실제로 발행된 비트코인이 아니기 때문이다.

빗썸은 현재 잘못 지급된 비트코인의 99.7%를 회수했다. 나머지 0.3%는 회사 보유 자산을 이용해 수량을 맞추겠다고 밝혔다.

이 같은 장부 거래 자체는 중앙화 거래소를 비롯해 은행이나 증권사에서도 쓰이는 방식이다. 예를 들어 은행 예금도 현금을 물리적으로 옮기는 것이 아니라, 은행 전산 장부에 기록된 잔액을 변경하는 방식으로 처리된다.

따라서 장부 거래보다 더 큰 문제는 빗썸의 내부통제 시스템이다. 빗썸은 전날 공지에서 "고객 자산 이동 및 리워드 지급 시 2단계 이상의 결재가 실행되도록 일부 누락되었던 프로세스를 보완하겠다"고 밝혔다.

해당 공지에 따르면 이번 이벤트 보상 지급 과정에서는 2단계 결재가 이뤄지지 않았다는 의미다. 즉, 단 한 번의 결재만으로 비정상적인 규모의 코인이 보상으로 지급됐다.

거래소 운영 방식상 다른 중앙화 거래소도 빗썸과 동일한 방식으로 이벤트 보상을 지급할 가능성이 크지만, 빗썸과 유사한 사례가 발생했던 적은 없다.

가상자산 업계 관계자는 "빗썸과 유사한 사례가 없었다는 건 일반적으로 거래소들이 이중, 삼중 승인을 거쳐 물량을 처리하기 때문일 가능성이 크다"며 "가상자산 업계 전반의 내부 통제 시스템을 점검할 필요는 있다"고 말했다.

hyun1@news1.kr