[아주사설 | 기본·원칙·상식] 또 '소 잃고 외양간 고치기', 빗썸 사태가 드러낸 가상자산 관리의 민낯

국내 2위 가상자산 거래소 빗썸의 ‘60조 원대 비트코인 오지급’ 사태는 단순한 전산 사고가 아니다. 이벤트 당첨금 62만 원을 지급하는 과정에서 단위를 잘못 입력해 62만 개의 비트코인이 고객 계정에 반영됐다. 이는 빗썸이 실제 보유한 비트코인(약 4만6000개)의 12배가 넘는 규모다. 더 심각한 것은 이처럼 비현실적인 숫자가 내부 시스템에서 걸러지지 않았고, 일부는 실제 매도로 이어졌다는 점이다. 이 정도면 ‘실수’라기보다 ‘구조적 결함’에 가깝다.

이번 사태를 이해하는 핵심 키워드는 ‘장부 거래’다. 빗썸을 포함한 주요 거래소는 중앙화 거래소(CEX) 방식으로 운영된다. 거래가 발생할 때마다 블록체인에 내역을 기록하는 것이 아니라, 거래소 내부 데이터베이스(DB)에서 잔고 숫자를 조정하는 방식으로 체결을 처리한다.

속도와 수수료, 실시간 체결을 위해 불가피한 선택이라는 것이 업계의 설명이다. 실제로 모든 거래를 온체인으로 처리하면 확정까지 시간이 걸리고 비용도 커져, 지금과 같은 거래소 운영은 사실상 불가능하다. 

문제는 바로 여기서 시작된다. 장부 거래 자체가 불법은 아니다. 그러나 장부상의 숫자가 실질적으로 ‘돈’처럼 기능하는 순간, 거래소는 은행에 준하는 내부통제와 검증 체계를 갖춰야 한다. 이번 사태는 그 기본이 무너져 있었음을 보여준다. 실제 블록체인에서 코인이 이동한 것이 아니라 장부 숫자만 바뀌었다는 설명은 면죄부가 아니라 경고에 가깝다. 숫자만으로도 시장을 교란하고 이용자 잔고와 심리를 흔들 수 있다는 뜻이기 때문이다. 

​​​​​​더구나 빗썸은 이런 위험을 몰랐던 것도 아니다. ‘팻핑거(fat finger)’로 불리는 입력 실수를 막기 위한 예방 시스템을 개발해 이달 말 도입할 예정이었으나, 일정이 지연됐다는 얘기가 나온다. 반면 업비트는 존재하지 않는 가상자산 지급을 차단하는 장치를 마련해 실제 보관 중인 자산만 지급되도록 설계돼 있다고 밝힌다. 결국 결론은 단순하다. 위험을 인지하고도 방어막 구축을 미뤘고, 그 공백이 시장 불안을 키웠다. “실수였다”는 말로 넘어갈 사안이 아니다. 

이번 사태의 후폭풍은 앞으로 더 커질 가능성이 있다. 쟁점은 두 갈래다. 하나는 아직 회수되지 않은 코인을 어떻게 처리할 것인가다. 빗썸은 오지급 물량의 99.7%를 회수했다고 밝혔지만, 이미 매도돼 미회수로 남은 0.3%(비트코인 약 125개 상당)는 성격이 다르다. 일부는 원화로 전환돼 외부 계좌로 출금됐다는 말까지 나온다. 여기서부터는 단순히 “회수 중”이라는 공지로 끝날 문제가 아니다. 누가 언제 어떤 경로로 얼마나 전환했는지, 회수 기준 가격을 어느 시점으로 잡을지, 반환 거부 시 어떤 법적 절차를 밟을지 등 원칙과 절차가 명확해야 2차 분쟁을 막을 수 있다. 

다른 하나는 피해자 보상 절차의 예측 가능성이다. 빗썸은 시세 급락 과정에서 저가 매도한 고객의 손실을 보상하겠다고 밝혔다. 그러나 ‘전면 보상’이라는 표현은 듣기에는 시원하지만, 기준이 모호하면 오히려 불신을 키운다. 어떤 거래를 피해로 볼 것인지, 가격 기준은 무엇인지, 자동 보상인지 신청 보상인지, 이의 제기 창구는 어떻게 운영할지 등 구체적 설계가 제시되지 않으면 보상은 구제책이 아니라 분쟁의 출발점이 된다. 신뢰는 ‘돈’보다 ‘절차’에서 회복된다.

당국의 대응 역시 비판을 피하기 어렵다. 금융감독원이 현장 점검반을 보내 결재 절차 없이 지급이 가능했던 시스템을 들여다보고, 금융위원회가 내부통제 기준 의무화 등 제도 개선을 논의하겠다고 밝힌 방향 자체는 맞다. 그러나 사고가 터진 뒤에야 움직이는 대응 패턴이 반복되고 있다. “구조적 취약점이 드러났다”는 말은 이제 공허하다. 취약점은 어제오늘 생긴 것이 아니다. 거래소가 장부로 거래를 처리한다는 사실도, 내부 통제가 생명줄이라는 점도 이미 알려져 있었다. 그럼에도 시장이 커지는 동안 규율은 느슨했고, 관리는 ‘자율’에 맡겨졌다.

이제 가상자산 거래소를 ‘실험장’처럼 방치할 여유는 없다. 거래 규모는 커졌고, 개인 투자자 비중은 높으며, 단 한 번의 사고가 시장 전체 신뢰를 흔든다. 제도권 편입은 구호가 아니라 실행이어야 한다. 최소한 세 가지는 더 이상 미룰 수 없다. 

첫째, 실시간 잔고·지급 검증 체계의 의무화다. 장부와 실제 보유 자산이 자동으로 대조되고, 보유량을 초과하는 지급은 시스템적으로 차단돼야 한다. 둘째, 다중 승인과 권한 분산이다. 단일 직원의 입력과 단일 경로로 거액 지급이 가능한 구조는 금융권에서 금기다. 거래소 역시 예외일 수 없다. 셋째, 정기적 외부 검증과 공시 표준화다. 거래소의 ‘자체 해명’이 아니라 외부 기관의 검증을 통해 보유 현황과 운영 체계를 확인하고, 그 결과를 이용자가 이해할 수 있는 방식으로 공개해야 한다. 

여기에 디지털자산 2단계법 논의도 더는 미뤄선 안 된다. 이번 사태가 ‘규제 강화의 명분’으로만 소비되고, 정작 실행 가능한 내부통제 의무와 검증 장치가 빠진다면 같은 사고는 반복될 것이다. 

빗썸 사태는 우연이 아니다. 관리보다 성장, 안전보다 속도를 앞세워온 선택의 결과다. 거래소는 “이번에는 수습했다”고 말할지 모르지만, 시장이 던지는 질문은 다르다. 다음 번에는 막을 수 있느냐는 것이다. 신뢰를 잃으면 시장도 없다. ‘소 잃고 외양간 고치기’가 반복되는 한, 가상자산 산업의 미래 역시 흔들릴 수밖에 없다.

서울 강남구 빗썸 라운지 전광판 [사진=연합뉴스]