'장부 거래'가 뭐길래…Q&A로 보는 '빗썸 비트코인' 사태

(서울=뉴스1) 박현영 블록체인전문기자 = 가상자산 거래소 빗썸의 비트코인 62만 개 오지급 사고가 가상자산 업계 전반의 문제로 번질 수 있다는 우려가 제기되고 있습니다.

실제 가상자산을 이동시키기 전 데이터베이스상 수량을 변경하는 이른바 '장부 거래'로 인해, '없는 코인' 62만 개를 찍어낼 수 있는 게 아니냐는 비판이 팽배하기 때문입니다.

하지만 장부 거래는 은행이나 증권사도 이용하는 방식으로, 이 방식을 사용하는 가상자산 거래소들 모두가 문제인 것은 아닙니다. 이번 사고의 주된 원인은 결재 한 번만으로 비정상적인 규모의 코인을 지급할 수 있게 해둔 빗썸의 부실한 내부통제 시스템입니다.

왜 이런 사태가 발생했는지, 가상자산 거래소 이용이 위험하지는 않은지 Q&A 형식으로 쉽게 풀어봤습니다.

A. 빗썸 비트코인 오지급 사고란 지난 6일 빗썸이 이벤트 당첨자들에게 보상으로 1명당 2000원어치 비트코인을 지급하려다, 1명당 비트코인 2000개(약 2000억 원어치)를 지급해버린 사건입니다. 이렇게 잘못 지급된 비트코인은 총 62만 개에 달합니다.

지난해 3분기 보고서 기준 빗썸이 보유한 비트코인은 4만 2800여 개에 불과합니다. 즉, 빗썸이 보유한 비트코인 수량보다 약 14배 더 많은 비트코인이 이벤트 보상으로 지급됐습니다.

특히 비트코인을 잘못 지급받은 이용자 중 일부가 비트코인을 매도하면서 개당 9700만 원대에 거래되던 비트코인이 빗썸에서만 8111만 원으로 일시 하락했고, 이 시기에 가격 급락에 놀란 투자자들이 헐값에 비트코인을 매도한 피해자들이 생겨나면서 문제가 더 커졌습니다.

A. 이는 중앙화 가상자산 거래소(CEX)와 금융권 전반에서 통상적으로 쓰이는 이른바 '장부 거래' 방식 때문입니다.

예를 들어 은행 예금도 현금을 물리적으로 옮기는 것이 아니라, 은행 전산 장부에 기록된 잔액을 변경하는 방식으로 처리되고 영업 종료 이후 장부상 금액과 실제 보유 금액을 맞춰보는 과정을 거칩니다. 마찬가지로 가상자산 거래소도 대량의 거래를 신속하게 처리하기 위해 실제 코인이 이동하기 전 전산상에 잔고 변화를 기록합니다.

따라서 빗썸에서 지급된 비트코인 62만 개는 빗썸 내부 데이터베이스에 먼저 반영된 코인으로, 실제 블록체인상에서 비트코인이 발행된 것은 아닙니다. 본래 비트코인이 발행되려면 컴퓨터로 복잡한 연산작업을 수행하는 '채굴' 과정을 거쳐야 합니다.

A. 장부 거래 자체가 문제인 것은 아닙니다. 앞서 언급했듯 은행이나 증권사도 장부 거래 방식을 씁니다. 대신 장부 거래 방식에서 중요한 것은 실제 보유 수량과 장부상 수량을 시시각각 비교하는 것입니다. 은행도 매일 영업을 종료하면 수량을 확인하는 '시제 맞추기' 시간을 갖습니다.

경쟁 거래소인 업비트의 경우 수량 비교·대조를 5분마다 하는 전담 팀이 있습니다. 그러나 빗썸의 경우 사고 발생 이후 20분이나 사고 발생 사실을 인지하지 못했죠. '없는 코인'이 62만 개나 찍혔는데 20분 동안 수량 비교가 이뤄지지 않았다는 뜻입니다.

정리하자면 대량 거래를 처리하려면 장부 거래는 사실상 필수적인데, 거래소를 안정적으로 운영하려면 전산(장부)상 수량과 실제 보유 수량의 정합성(일치성)을 제대로 확보할 수 있어야 합니다. 빗썸은 이 정합성 확보가 제대로 이뤄지지 않았다고 보면 됩니다.

A. 진짜 문제는 빗썸의 내부 통제 시스템입니다. 우선 이벤트 보상이 비정상적으로 지급될 수 있는 구조 자체가 문제였습니다.

업비트나 코빗의 경우, '이벤트 보상 전용 계정'이 따로 있습니다. 말그대로 이벤트 보상만 해주는 계정으로, 보상을 지급하기 전 해당 계정에 기재할 보상 수량을 미리 확보해둡니다.

예를 들어 이벤트 보상으로 비트코인 10개를 지급한다면 10개를 미리 빼놓고, 이벤트 전용 계정에 '10BTC'라고 기재해둔 뒤에 지급하는 방식입니다. 이렇게 하면 애초에 10개 내에서만 이동을 처리할 수 있어 빗썸 사태처럼 '2000개' 같은 새로운 숫자를 생성하는 게 불가능합니다.

결재 단계가 부족한 것도 문제였습니다. 빗썸은 1단계 결재, 즉 한 번의 승인으로만 이벤트 보상을 지급했습니다.

하지만 일반적으로는 '다중 결재' 방식을 씁니다. 한마디로 여러 사람의 승인을 거쳐 보상이 지급되는 구조여야 합니다. 일례로 업비트는 이벤트 보상 지급에만 3개 팀이 관여합니다. 한 팀이 실수하더라도 다른 팀에서 실수를 걸러낼 수 있는 구조입니다.

A. 앞서 언급했듯 빗썸이 찍어낸 비트코인 62만 개는 블록체인상에서 실제 발행된 게 아닌, 쉽게 말해 '가짜 코인'입니다. 빗썸 데이터베이스 상에만 찍힌 코인이므로 '빗썸 내부에서만' 매도가 가능했습니다.

이는 가상자산 거래소 하나하나가 독립된 시장이기 때문입니다. 빗썸에서 매매 주문을 넣으면 빗썸에서만 거래가 체결되고, 업비트에서 주문을 넣으면 업비트에서만 거래가 체결되는 구조입니다. 따라서 비트코인 가격도 빗썸 내에서만 일시 하락했고, 다른 거래소에서는 그대로였습니다.

빗썸은 사고 사실을 인지한 직후 비트코인을 지급받은 계정들을 정지시켰지만, 만약 계정이 정지되지 않았더라도 이용자들이 지급받은 비트코인을 외부로 출금하는 것은 불가능했을 것입니다. 62만 개가 실제로 발행된 비트코인이 아니기 때문입니다. 따라서 코인을 잘못 지급받은 이용자들이 '빗썸 내에서' 매도에 성공한 뒤, '원화'로 인출한 사례만 존재합니다.

A. 이번 사태로 중앙화 가상자산 거래소 전체가 문제라고 보기에는 무리가 있습니다. 한 번의 결재만으로 '없는 코인'을 찍어낸 빗썸의 내부통제 시스템이 문제인 것이지, 중앙화 거래소의 장부 거래 운영 방식 자체가 문제인 것은 아니기 때문입니다.

이런 사태는 유례가 없기도 하고, 거래소들도 예방 장치를 갖추고 있습니다. 예를 들어 코빗은 '이중 장부' 방식을 이용해 거래 시 출금과 입금이 쌍을 이뤄야만 기록이 이뤄지도록 해 오지급을 원천 차단하고 있습니다. 따라서 중앙화 거래소 이용 자체가 안전하지 않은 것은 아닙니다.

A. 잘못 지급한 비트코인 62만 개 중 99.7%는 빗썸이 회수했습니다. 사실상 없는 코인이었으니 데이터베이스상 찍혀 있는 비트코인을 없애 버리면 됩니다.

그런데 잘못 받은 비트코인을 현금화하거나 다른 가상자산으로 바꾼 이용자들이 80명 정도 존재합니다. 빗썸은 이들을 한 명 한 명 설득 중인데, 만약 설득에도 돌려주지 않으면 빗썸은 이들 이용자에 대한 민사상 부당이득반환청구소송을 제기할 수 있습니다.

hyun1@news1.kr