국내 2위 가상자산거래소 빗썸에서 비트코인 오지급 사고가 발생하면서 중앙화 거래소(CEX)와 탈중앙화 거래소(DEX)의 구조적 차이에 관심이 쏠리고 있다. 특히 이번 사태가 중앙화 거래소 특유의 내부 장부 시스템에서 비롯된 전형적인 사고라는 점에서 두 거래 방식의 근본적인 구조 차이를 짚어봐야 한다는 지적이 나온다.
CEX는 중앙화 거래소(Centralized Exchange)의 약자로 빗썸이나 업비트처럼 거래소가 이용자의 가상자산을 대신 보관하고 매매를 중개하는 방식이다. 이용자는 거래소 계정에 원화나 가상자산을 입금한 뒤 거래소 내부 시스템을 통해 사고파는 구조로, 실제 체결·잔고 관리는 블록체인이 아니라 거래소의 전산 장부에서 이뤄진다. 거래 속도가 빠르고 인터페이스가 익숙해 국내 투자자의 상당수가 이 같은 CEX를 통해 가상자산을 거래하고 있다.
하지만 이런 편리함은 동시에 위험 요인이 되기도 한다. CEX에서는 고객 자산의 잔액과 거래 내역이 블록체인에 실시간으로 기록되지 않고 먼저 거래소 내부 장부에 반영된다. 이 때문에 모든 기록과 출금 권한이 거래소에 집중돼 있고, 내부 통제나 전산 시스템에 오류가 나면 이번처럼 대규모 사고로 번질 수 있다. 이벤트 보상 지급 과정에서 수량이나 단위를 잘못 입력할 경우 실제로 존재하지 않는 코인이 계정에 찍히는 ‘유령 자산’이 발생할 여지도 있다. 이번 빗썸에서 수십만 개 비트코인이 잘못 뿌려진 것도 바로 이런 구조 때문이다.
반면 DEX는 탈중앙화 거래소(Decentralized Exchange)로 구조 자체가 다르다. 유니스왑 등으로 대표되는 DEX에서는 거래소가 고객 자산을 예치받아 보관하지 않고 이용자가 직접 관리하는 개인 지갑과 스마트 계약을 통해 거래가 이뤄진다. 사용자는 자산을 중앙 서버에 맡기지 않은 채 지갑을 연결해 거래하고 스마트 계약이 미리 정한 규칙에 따라 자동으로 체결을 처리한다. 이 때문에 CEX처럼 운영 주체가 내부 장부를 마음대로 수정해 잔고를 부풀리거나, 이벤트 명목으로 코인을 임의로 ‘찍어내는’ 방식의 사고는 구조적으로 발생하기 어렵다.
다만 DEX 역시 만능은 아니다. 사람이 아닌 코드가 거래를 처리하는 만큼 스마트 계약 설계나 구현에 오류가 있을 경우 피해가 곧바로 발생할 수 있다. 이에 CEX가 사람과 내부 시스템의 실수·부실한 통제에 취약하다면, DEX는 코드의 완성도와 보안 설계가 핵심 위험 요인으로 꼽힌다.
업계에서는 이번 빗썸 사태를 계기로 “편리함을 앞세운 CEX 구조의 이면에 있는 관리·통제 책임을 다시 점검해야 한다”는 목소리가 나온다. 금융당국은 금융위원회·금융감독원 합동으로 긴급 점검반을 꾸려 빗썸 본사에 현장점검을 나간 데 이어 다른 가상자산거래소들에 대해서도 자산 보유·운영 현황과 내부통제 시스템 전반을 들여다보겠다는 방침이다.