[이데일리 이정훈 기자] 국내 대형 가상자산 거래소인 빗썸에서 직원 실수로 대규모 비트코인이 잘못 지급되는 사고가 발생했다. 8년 전 있었던 삼성증권의 ‘유령 주식’과 너무나도 닮은 일종의 ‘유령 코인’ 사건으로 인해 은행이건 증권이건, 디지털금융을 지향하는 가상자산 거래소건 탈중앙화되지 않은 중앙화 금융의 취약성이 여실히 드러났다.

7일 업계에 따르면 빗썸은 지난 6일 고객들을 대상으로 한 이벤트를 통해 1인당 2000~5만원씩의 리워드를 지급하는 과정에서 직원 실수로 실제 ‘원’으로 입력해야할 것을 비트코인 단위인 ‘BTC’로 입력하고 말았다. 이로 인해 일부 고객에게 비트코인이 총 62만개 잘못 지급됐다. 사고 당시 비트코인 1개당 9800만원대였던 점을 감안하면 약 60조7600원에 이르는 규모다.

빗썸 측은 “62만개가 전산 상으로 잘못 지급한 것으로 기표됐지만, 오류를 확인한 즉시 장부(원장) 기표를 수정 조치해 99.7% 오지급분을 회수했고, 나머지 0.3% 중에서 1788개는 당첨자들이 이미 매도한 상태였지만 이 중 93%를 더 회수했다”고 설명했다. 이에 따라 현재 125개(약 123억원) 상당의 비트코인은 아직 회수하지 못했다. 다행히 매도분 모두 빗썸 거래소 내에서 거래가 이뤄졌고 외부 거래소나 지갑으로 빠져 나가지 않아 빗썸은 고객에 동의를 구하거나 필요할 경우 법적 조치 등으로 모두 회수할 계획이다.

빗썸은 “지갑에 보관된 코인 수량은 엄격한 회계관리를 통해 고객 화면에 표시된 수량과 100% 동일하게 유지되고 있으며, 매 분기 외부 회계법인과 진행하고 있는 자산 실사를 통해 이를 투명하게 공개하고 있다”며 “이번 오지급 사고에서 회수하지 못하고 이미 매도된 BTC 수량은 회사 보유자산을 활용해 정확하게 맞출 예정”이라고 밝혔다.

이날부터 시작된 금융당국의 현장조사와 추가적인 검사가 필요하긴 하지만, 일단 이번 사태는 직원의 입력 실수에 따른 ‘팻 핑거(Fat Finger·주문 입력 실수)’일 가능성이 높아 보인다. 그럼에도 애초에 빗썸이 위탁 받아 자체 보유 중인 비트코인이 약 5만개에 불과한데도 62만개의 비트코인을 지급할 수 있었던 상황을 문제로 지적하는 목소리가 높다.

무엇보다 이는 탈중앙화하지 않은 중앙화 금융의 한계로 설명될 수 있다. 현대 금융시스템 상에서 은행이나 증권, 빗썸과 같은 중앙화 코인거래소는 모든 거래를 실제 자금이 옮겨 다니는 방식이 아니라 온라인으로 장부 상 숫자로만 거래가 이뤄진다. 이후 정산결제 과정에서 장부 기재내역에 맞춰 실제 자금이 이동하게 되는 방식이다.

이렇다보니 앞서 8년 전인 2018년에도 삼성증권에서 담당자의 입력 실수로 인해 직원들에게 주당 배당금을 1000원씩 지급하려다 1000주씩 지급하는 일이 있었다. 이로 인해 존재하지도 않는 유력 주식 28억주가 직원들의 계좌에 입고됐고 일부 직원이 이를 처분한 탓에 삼성증권 주가가 급락하는 시장 교란까지 벌어졌다. 이번 빗썸 거래소의 사고도 이와 거의 동일한 방식으로 일어난 셈이다.

지난해에는 글로벌 은행인 씨티뱅크가 고객 계좌로 280달러(원화 약 41만원)를 이체하려다 실수로 81조달러(원화 약 11경8244조원)을 잘못 보내는 일이 생겼다. 송금을 처리한 직원은 물론이고 이를 검토했던 직원도 오류를 알아 차리지 못했다가 1시간 반 만에 오류가 적발돼 즉각 거래 수정이 이뤄졌다.

물론 이런 팻 핑거가 가끔씩 발생하는 실수라고 해서 빗썸이 책임에서 자유로울 수 있는 건 아니다. 빗썸이 보유하지도 않은 자산이 내부 전산망에서 정상 자산처럼 인식돼 매매가 체결됐고, 이를 걸러낼 수 있는 안전장치가 마련돼 있지 않았다. 특히 이 과정에서 ‘매도 폭탄’이 쏟아지며 빗썸 내 비트코인 시세는 타 거래소 대비 10% 이상 폭락한 8100만원대까지 추락해 자사 거래소 고객들의 자산가치도 훼손됐다.

그나마 가상자산 거래소는 탈중앙화돼 있지 않더라도 가상자산이 지갑을 옮겨 다니는 것은 온체인 상에 기록으로 남다보니 설령 빗썸에서 잘못 받은 비트코인 40만개가 모두 외부 지갑으로 전송되는 일은 없었을 것이다. 빗썸 거래소가 가진 고객 장부 상에 40만개가 기재돼 있어도 온체인 상에 빗썸이 외부 지갑으로 전송할 수 있는 물량은 빗썸이 보유한 5만개를 넘을 수 없기 때문이다.

일단 금융당국은 이번 사태의 유사성을 엄중히 인식하고 빗썸에 대한 현장 검사에 착수해 내부통제 시스템을 집중 점검할 방침이다. 한 전문가는 “이번 사고로 거래소 내부 장부(Off-chain)와 실제 온체인 간 실시간 검증 시스템이 부재하다는 문제는 드러났다”며 “고의로 장부 조작만으로 유령 코인을 유통시킬 수 있는 허점을 보완하기 위한 내부통제 시스템이 마련돼야할 것”이라고 말했다.

이번 사태로 인해 정부와 더불어민주당이 추진하고 있는 가상자산 거래소 대주주에 대한 지분 규제가 힘을 받을 것이라는 우려도 나온다.

마침 이날 민주당 대변인은 오전 국회 브리핑을 통해 “이번 사태는 단순한 입력 실수를 넘어 가상자산 거래소의 내부통제와 장부 관리 시스템에 구조적 허점이 있음을 드러낸 것”이라고 지적했다. 또 “실제로 보유하지 않은 자산이 장부상 거래에 활용되고 가격 변동을 유발한 것은 결코 가볍게 볼 수 없다”며 금융당국의 엄정한 조사와 책임 규명, 그리고 재발 방지를 위한 감독 체계 강화를 강력히 촉구했다.

다만 강형구 한양대 파이낸스경영학과 교수는 “빗썸이 한꺼번에 큰 금액이 인출될 때 재차 검증하고 자동으로 제어하는 장치를 만들었어야 했다”고 비판하면서도 “삼성증권 사태나 과거 네이키드 공매도(주식 차입 없이 이뤄지는 공매도) 등 실시간으로 사고를 막는 건 쉽지 않다는 사례가 많았던 만큼 빗썸도 비례성의 원칙대로 잘못의 경중에 맞게 제재 받는 게 온당하다”며 과도한 처벌을 경계했다.