[단독]'빗썸 62조 소동' 업비트는?…이벤트 전용 계정으로 사고 원천차단

(서울=뉴스1) 박현영 블록체인전문기자 최재헌 기자 = 가상자산 거래소 빗썸이 이벤트 보상 과정에서 비트코인 62만 개(약 62조원)를 잘못 지급하는 사태가 발생한 가운데, 경쟁사이자 점유율 1위인 업비트는 이벤트 전용 계정을 별도로 운영해 해당 계정에서만 보상 수령자에게 자산을 전송하고 있는 것으로 확인됐다.

보상 지급용 자산을 사전에 확보한 후 이벤트 전용 계정에 수량을 기재하고, 해당 계정에서만 전송이 이뤄지게끔 함으로써 '오지급 사고'를 원천 차단하고 있는 것이다.

또 '유령코인' 문제가 없도록 가상자산 지갑 내 보유량과 내부 장부 합계를 5분마다 비교·대조하고, 이벤트 보상 지급에만 3개 팀이 관여하는 '다단계 승인' 절차 시스템을 거치는 것으로 나타났다.

9일 뉴스1 취재에 따르면 업비트는 이벤트 보상 지급 시 △상시 모니터링 △이벤트 전용 계정 △내부통제 등 '3중 안전장치'를 통해 오류 가능성을 최소화하는 사고 예방 통제 체계를 갖추고 있다.

우선 업비트는 '상시 숫자 대조' 시스템을 운영한다. 가상자산 지갑 내 보유 수량과 거래소 내부 데이터베이스상 숫자를 5분마다 대조하는 시스템이다.

중앙화 가상자산 거래소들은 대부분 '장부 거래' 방식으로 운영된다. 거래소들은 가상자산 지갑에서 물량을 시시각각 출금하기 어려워 우선 거래소 내부 데이터베이스에 반영하고, 추후 지갑 내 자산 수량과 숫자를 맞추는 구조로 운영된다. 빗썸이 보유하고 있던 비트코인은 4만 3000여개인데, 62만 개 비트코인이 찍힌 이유도 이 때문이다.

장부 거래 방식은 은행이나 증권사에서도 모두 이용하는 방식으로 '장부 거래' 자체가 문제는 아니다. 단, 시시각각 비교·대조하는 게 중요하다. 빗썸의 경우 오지급 사실을 20여분간 인지하지 못했다. 업비트는 지갑(온체인) 잔고를 투명하게 공개하는 준비자산 증명 시스템을 운영하고, 해당 시스템을 활용해 5분에 한 번씩 대조 작업을 진행한다.

또 이벤트 보상 지급 시 업비트는 지급 예정 수량을 사전에 확보한다. 예를 들어 비트코인 10개를 보상용으로 지급한다면, 10개를 먼저 지갑에서 확보해둔 후 이벤트 전용 계정에 해당 수량을 데이터로 반영한다. 이후 이벤트 계정에서 수령자에 자산을 전송하는 방식으로 지급을 완료한다.

이 경우 기존에 확보해둔 수량 범위 내에서만 자산 이동이 가능하다. 지급 수량이 10개라면 10개 내에서만 이동을 처리할 수 있어 빗썸 사태처럼 '2000개' 같은 새로운 숫자를 생성하는 게 불가능하다는 것이다. 빗썸 오지급 사고는 이벤트 보상으로 1명당 2000원어치 비트코인을 지급하려다, 1명당 비트코인 2000개를 지급하면서 발생했다.

내부 승인도 여러 단계를 거친다. 빗썸의 경우 이번 사고 당시 1단계 결재만 있었던 것으로 알려졌다.

빗썸은 공지에서 "리워드 지급 시 2단계 이상의 결재가 실행되도록 일부 누락되었던 프로세스를 보완하겠다"고 밝혔는데, 해당 공지에 따르면 이번 이벤트 보상 지급 과정에서는 2단계 결재가 이뤄지지 않았다는 의미다. 즉, 단 한 번의 결재만으로 비정상적인 규모의 코인이 보상으로 지급됐다는 점에서 논란이 커졌다.

업비트는 이벤트 보상 지급에만 3개 팀이 관여한다. 이벤트 보상 수량을 사전에 확보하는 디지털자산관리팀이 있고, 이벤트 전용 계정(장부)에 수량을 입력하고 지급하는 운영팀이 있으며, 이후 실제 지갑 내 수량과 장부 수량을 비교·대조하는 모니터링 팀이 있다. 이 경우 단위 오기재 같은 인적 오류 가능성을 크게 줄일 수 있다.

한편 금융당국은 지난 7일에 이어 8일에도 빗썸 사태 관련 회의를 열었으며 긴급대응반을 꾸려 대응하고 있다. 또 지난 8일 금융위원장 주재 회의에서 이억원 위원장은 빗썸 외 다른 주요 거래소들의 내부통제 시스템을 모두 점검할 것을 지시하기도 했다.

따라서 이번 사고로 업비트를 포함해 디지털자산 거래소협의체(DAXA, 닥사)에 소속된 모든 거래소가 내부통제 시스템을 재차 점검할 예정이다. 그 결과를 토대로 금융감독원도 점검에 나선다.

hyun1@news1.kr