가상자산거래소 빗썸에서 이벤트 보상금으로 62만원이 아닌 비트코인 62만개가 지급되는 사고가 발생했다. 빗썸이 고객으로부터 위탁 보관하고 있는 비트코인이 4만6000개 정도인데, 보유 물량의 12배 넘는 ‘유령 코인’이 살포된 것이다. 잘못 지급된 비트코인 중 일부는 현금화돼 거래소 밖으로 유출되고, 한때 거래소 내 비트코인 가격이 폭락했다. 하지만 이상 거래로 분류돼 지급이 즉각 정지되거나 거래가 차단되는 조치가 이뤄지지 않았다. 하루 1조원 안팎 돈이 거래되는 국내 2위 거래소의 내부 통제 시스템의 허점이 고스란히 드러났다는 비판이 나온다.
8일 금융권에 따르면, 빗썸은 지난 6일 오후 7시쯤 이용자 대상으로 1인당 2000~5만원씩 지급하는 이벤트를 진행하던 중, 담당 직원 실수로 단위가 ‘원화’에서 ‘비트코인(BTC)’으로 잘못 입력됐다. 이 과정에서 이벤트 당첨자 249명에게 총 62만개에 달하는 비트코인이 지급됐다. 전 세계 유통 비트코인 2000만개의 3%가 넘는 ‘유령 코인’이 생겨난 것이다. 당첨자들은 대부분 비트코인 2000개씩을 받았는데, 금융 당국이 환산한 기준으로 1명당 약 1970억원어치다.
◇구멍가게 같은 장부 관리 시스템
허술한 장부 관리가 구멍으로 꼽힌다. 가상자산 거래소는 블록체인(분산 원장·가상 화폐 해킹이나 탈취를 막기 위해 모든 이용자의 컴퓨터에 거래 정보를 공유하는 시스템)에 거래 내역을 일일이 전송하는 대신, 거래소 내부 장부에 거래 내역을 기록해 뒀다가 한꺼번에 블록체인에 전송한다. 은행이나 증권사 등 금융사 역시 초 단위로 발생하는 거래 내역을 내부 장부에 기록해 뒀다가 주기적으로 금융망에 반영하는 것과 비슷하다.
이 같은 장부 거래는 금융사가 거래 내역을 알아서 기록하는 것이기 때문에 조작 가능성이 뒤따른다. 이 때문에 금융사들은 내부 장부상 거래 내역을 반영할 때 실제로 가능한 거래인지 검증하고, 거래 단위나 금액 오류를 잡아내는 시스템을 갖춘다. 가령 자산이 1조원인 금융사에서 부서끼리 1조원을 주고받는 내부 거래를 한다고 하면 내부 시스템에서 알아서 거래를 차단하는 식이다.
그런데 빗썸은 이런 시스템이 미비해, 내부 장부에 보유량 12배 넘는 비트코인이 거래될 수 있었다. 거래 내역을 검증하는 절차도 부실했다. 빗썸은 이용자들의 비트코인 1회 거래 한도를 50개로 제한하고 있지만, 정작 자체 이상 거래를 막는 장치는 없었다. 황석진 동국대 국제정보보호대학원 교수는 “비트코인은 가격이 1억원이 넘는데, ‘1’이라는 숫자 뒤에 원화도 입력할 수 있고, 비트코인도 입력할 수 있게 해 둔 게 말이 안 된다”고 했다.
◇‘유령 코인’ 여전히 회수 중
빗썸은 비트코인 62만개 중 99.7%에 해당하는 61만8212개는 거래가 이뤄지기 전에 내부 장부상으로 잘못 지급된 것으로 처리해 회수했고, 거래가 이뤄진 1788개에 대해서도 120여 개를 제외하면 이용자 동의를 거쳐 대부분 회수했다고 밝혔다. 회수되지 않은 비트코인에는 이미 빗썸을 빠져나간 30억원어치도 포함돼 있는데, 반환 요청이 받아들여지지 않으면 부당이득 반환 청구 소송을 거쳐야 한다.
사고 직후 이용자들이 지급받은 비트코인을 팔면서, 빗썸에선 한때 비트코인 가격이 개당 8100만원까지 하락했다. 이 과정에서 다른 이용자들이 겁을 먹고 저가 매도에 나서 총 10억원 수준의 차액 손실을 본 것으로 파악됐다. 빗썸은 저가 매도로 손실을 본 이들에게 손실액의 110%를 지급하고, 사고 시간대에 빗썸 서비스에 접속했던 모든 이용자에게 2만원씩 보상금을 주겠다고 밝혔다. 금융당국은 공동으로 긴급 대응반을 구성하고 현장 점검에 나섰다. 향후 위법 사항이 발견될 경우 검사를 벌인다는 방침이다.