[이데일리 최훈길 기자] 국회가 60조원 규모 비트코인 오지급 사고가 발생한 디지털자산(가상자산) 거래소 빗썸 사태 관련해 국회 차원의 대책 논의에 나선다. 실제 자산 보유량을 초과하는 비트코인이 지급된 장부 거래 구조와 내부통제 시스템 문제를 집중 점검하고 디지털자산기본법에 반영할 제도개선 방안도 논의할 전망이다.

9일 국회에 따르면 국회는 11일 오전 10시 국회 정무위원회 전체회의를 열고 금융위원회와 금융감독원으로부터 빗썸 사태 관련해 보고를 받고 후속 대책을 논의한다. 금융정보분석원(FIU)과 이재원 빗썸 대표이사도 참석할 예정이다.

민주당 정무위 간사인 강준현 의원은 이데일리와 통화에서 “금융위·금감원과 빗썸 대표가 참석한 가운데 빗썸 사태 관련해 정확하게 현황을 파악하고 재발방지 대책을 다룰 것”이라고 예고했다. 민주당 디지털자산태스크포스(TF) 위원장을 맡고 있는 이정문 의원은 “빗썸 오지급 사태 및 개선과제를 점검할 것”이라고 강조했다.

앞서 빗썸은 지난 6일 저녁 랜덤박스 리워드 이벤트를 진행하면서 249명에게 총 62만원을 주려다 62만개 비트코인을 잘못 지급했다. 잘못 지급한 코인 개수는 지난해 3분기 기준 빗썸이 자체 보유한 175개를 3500배나 넘으며, 고객들이 빗썸에 맡겨둔 코인 4만2619개까지 다 합쳐도 갚지 못하는 규모다.

20분쯤 뒤 사고를 인지한 빗썸은 출금을 차단해 오지급한 비트코인 중 99.7%에 해당하는 61만8212개를 회수했지만, 다른 거래소를 통해 이미 매도된 125개(123억원)는 회수하지 못했다. 일단 빗썸은 회사 보유자산을 투입해 매도 물량을 메웠고, 저가 매도로 피해를 본 고객에 대해 110% 보상하는 한편 1000억원 규모로 고객보호펀드도 조성하는 등 보상 대책을 내놨다.

사고 다음날인 7일 금융위·금융정보분석원(FIU)·금융감독원·디지털자산 거래소 공동협의체(DAXA)는 이재원 빗썸 대표를 불러 긴급 점검회의를 열었다. 당국은 빗썸을 우선 점검한 뒤 두나무(업비트)·코인원·코빗·스트리미(고팍스) 등 전체 거래소로 조사 범위를 넓혀 가상자산 보유·운영 현황과 내부통제시스템 등을 집중 점검할 방침이다.

당국 조사의 초점은 ‘빗썸이 실제로 보유하지 않았던 비트코인 62만개를 어떻게 지급할 수 있었는지’에 맞춰져 있다. 코인 수량과 무관하게 전산 장부상 숫자만 바꿔 거래가 이뤄지는 장부거래 구조 문제, 이중·삼중의 안전장치 없이 한 번의 승인만으로 결제가 가능했던 허술한 내부통제가 도마 위에 올랐다.

이억원 금융위원장은 8일 열린 금융정보분석원(FIU)·금융감독원과 긴급점검회의에서 “이번 사태를 계기로 가상자산거래소의 내부통제 시스템의 구조적 취약점이 드러난 만큼, 빗썸뿐만 아니라 모든 거래소의 내부통제 전반을 점검하고 적절한 내부통제 체계를 마련하라”고 지시했다.

이 위원장은 △추가적인 이용자 피해 발생 여부 △금감원 현장점검 진행 상황 △가상자산시장 동향 등을 지속적으로 모니터링하라고 지시했다.

금융위는 △은행 지분 50%+1주를 통한 은행 중심 컨소시엄 구성 △디지털자산거래소 대주주 15~20% 지분 규제 △금융회사에 준하는 내부 통제기준 기준 의무화 △외부기관을 통한 가상자산 보유 현황 정기 점검 △전산사고로 인한 이용자 피해 발생 시 무과실 책임 규정 등을 디지털자산기본법에 반영할 계획이다.

이찬진 금감원장은 9일 2026년 금융감독원 업무계획 발표 및 기자간담회를 열고 “오입력 된 가상의 데이터가 거래됐다는 점이 본질”이라며 “규제 감독 체계가 해결되지 않을 때에는 인허가와 관련된 리스크가 발생할 수 있도록까지 규제 감독 체계를 강화하는 방안이 필요하다”고 말했다.

이 원장은 “(오입금된) 비트코인을 파신 분들은 재앙적으로 불안정한 위치에 처한 것”이라며 “오입금 된 비트코인은 부당이득반환 대상인 것은 명백하다. 반환돼야 하는 것은 이론의 여지가 없다”고 강조했다.

전문가 사이에서는 허술한 내부통제 구조를 개선하려면 고강도 진상규명과 대책이 필요하다는 의견이 제시된다. 민주당 디지털자산태스크포스(TF) 자문위원인 김종승 엑스크립톤 대표는 이데일리와의 전화 인터뷰에서 “일시적인 시스템 오류가 발생한 것인지, 아니면 과거부터 의도적으로 작동 안 되게 방치했는지가 관건”이라며 “과거에도 알게 모르게 실제 보유량을 초과한 거래가 있었는지 여부 역시 중점적으로 살펴봐야 할 것”이라고 지적했다.

이정수 서울대 법학전문대학원 교수(금융법 전공)는 전화 인터뷰에서 “핵심은 빗썸이 가지고 있지도 않았던 62만개 비트코인을 주는 것이 어떻게 가능했는지”라며 “보유 수량 이상의 비트코인이 거래될 수 있었다는 것 자체가 이미 심각한 내부통제 위반”이라고 지적했다.

이 교수는 “거래소가 이같은 문제를 해결하지 못한다면 시장에 진입하지 못하도록 하는 인가 규제를 디지털자산기본법에 반영해야 한다”며 “인가 이후 시장에 진입한 이후에도 강력한 내·외부 규제가 계속 뒤따라야 한다”고 강조했다.

서은숙 상명대 경제금융학부 교수는 2024년 7월 시행된 가상자산이용자보호법의 한계도 지적했다. 해당 법에 따르면 거래소가 고객 코인을 자기 돈처럼 쓰는 것을 원천 차단하기 위해 이용자 자산과 거래소 고유 자산을 반드시 분리 보관해야 한다.

해킹·전산 오류 발생 시 대규모 피해를 방지하기 위해 고객 가상자산의 80% 이상을 콜드월렛(Cold Wallet·인터넷과 분리된 오프라인 지갑) 에 보관해야 하고, 핫월렛(Hot Wallet·온라인 지갑)은 20% 이내 보관하도록 규정돼 있다.

이에 대해 서 교수는 “(이렇게 이행하는지) 실제 준수 여부는 연 1회 외부 감사로만 확인된다”고 꼬집었다. 이어 그는 “외국 같은 경우에는 프루브 오브 리저브(Proof of Reserves·PoR)라고 해서 보관하고 있는 상태를 증명서로 실시간으로 확인할 수 있다”며 “(우리나라는 연 1회 외부 감사일뿐) 실시간 모니터링이 없다”고 지적했다.

디지털자산 전문가 최화인 초이스뮤온오프 대표는 “장부를 조작해 보유하지 않은 유령 코인이 장부상 존재하거나, 과거에도 유사한 문제가 있었을 가능성까지 함께 거래소 전반을 점검해야 한다”며 “엄중한 후속 대책이 필요하다”고 강조했다.