1. 서론: 당신의 코인은 안전한가요?
어느 날 갑자기 당신의 계좌에 수천억 원의 코인이 입금된다면? 상상만 해도 아찔하죠. 하지만 며칠 전, 국내 2위 가상자산 거래소 빗썸에서 이 불가능한 일이 현실이 되었습니다. 금고에 없는 돈은 시스템이 막아야 하지만, 빗썸에서는 ‘유령 코인’이 창조되어 거래되는 금융 시스템 붕괴가 발생했습니다. 단순한 해프닝이 아닌, 우리 모두의 자산 안전에 대한 중대한 질문을 던지는 이번 사태, 과연 무엇이 문제였을까요?
2. 빗썸 유령 코인 사태의 전말
중앙일보 보도에 따르면, 사건 당시 빗썸이 실제로 보유했던 비트코인은 약 4.3만 개. 그러나 전산 오류로 고객들에게 지급된 비트코인은 무려 62만 개였습니다. 블록체인에서 새로 발행된 것이 아닌, 거래소 내부 원장 잔고가 잘못 반영되어 계좌에 표시되고 거래까지 가능해진 이른바 ‘유령 코인’이었습니다. 시세 기준으로 60조 원대 규모의 코인이 실체 없이 장부상으로만 존재하게 된 충격적인 사건입니다. 어떻게 이런 일이 가능했을까요?
3. 오프체인 거래 방식의 양면성
비밀은 거래소의 ‘오프체인(Off-chain)’ 방식에 있습니다. 우리가 거래소에서 코인을 사고팔 때, 그 내역이 블록체인에 바로 기록되는 것이 아닙니다. 대신 거래소 내부 장부, 즉 데이터베이스의 숫자만 바뀌죠. 이는 거래 속도를 높이고 수수료를 절감하는 장점이 있지만, 동시에 내부 통제나 검증이 제대로 작동하지 않을 경우 실제 보유량과 다른 숫자가 장부에 찍혀 거래로 이어질 수 있는 구조적 취약점을 안고 있습니다. 이번 빗썸 사태는 이 ‘위험한 입력창’에 안전장치가 전혀 없었다는 것을 여실히 보여주었습니다.
4. 35분의 재앙: 시장 혼란과 2차 피해
2월 6일 저녁 7시, 빗썸 랜덤 박스 이벤트 리워드 지급과 함께 유령 코인이 249명의 계좌에 입금되었습니다. 1인당 평균 2,490개의 비트코인, 어떤 고객은 5만 개를 받아 단숨에 4조 원대 자산가가 되기도 했습니다. 빗썸이 이상 징후를 감지하고 거래와 출금을 차단하기까지 걸린 시간은 단 35분. 이 짧은 시간 동안 80여 명의 고객이 유령 코인을 매도했고, 비트코인 가격은 몇 분 만에 16% 급락했습니다. 더욱 심각한 것은 유령 코인을 받지 않은 일반 사용자들까지 자동 손절매로 인해 2차 피해를 보았다는 점입니다.
5. 빗썸의 대응과 보상 대책
빗썸은 빠르게 움직여 61만 개 이상의 비트코인을 회수했으며, 외부 전송된 물량은 없는 것으로 확인되었습니다. 매도된 178개 비트코인 중 93%를 회수하고, 미회수분은 회사 자산으로 메꾸겠다고 밝혔습니다. 또한, 사고 시간대 저가 매도 고객에게 매도 차액의 110%를 보상하고, 모든 접속 고객에게 2만 원 상당의 보상 및 일주일간 거래 수수료 0% 혜택을 제공하겠다고 발표했습니다. 신속한 수습은 긍정적이지만, 사건의 근본적인 문제는 여전히 남아있습니다.
6. 거래소는 코인을 ‘찍어낼’ 수 있는가?
이론적으로는 가능합니다. 장부상 거래이기 때문에 시스템 관리자가 데이터베이스 숫자만 바꾸면 됩니다. 이번 빗썸 사건이 이러한 구조적 취약성을 현실로 보여준 셈이죠. 물론 외부 감사, 대량 출금 요청, 현행법 등 현실적인 제약이 있지만, 분기별 감사로는 실시간 감시가 불가능하다는 허점이 있습니다. 빗썸 사건이 ‘직원 실수’로 드러났기에 망정이지, 의도적인 조작이었다면 알아차리기 훨씬 어려웠을 것입니다.
7. 거래소 파산 시 나의 자산은?
은행 예금처럼 ‘예금자 보호’ 제도가 없다는 점은 가상자산 투자자들이 항상 우려하는 부분입니다. 하지만 현행법상 거래소는 이용자의 예치금 전액을 고유 재산과 분리하여 은행에 예치 또는 신탁해야 하며, 가상자산 역시 회사 자산과 분리 보관하고 콜드 월렛에 일정 비율 이상 보관해야 합니다. 또한 해킹, 전산 장애 등에 대비해 보험 가입 또는 준비금 적립 의무도 있습니다. 그러나 FTX, 마운트곡스 사례처럼 대형 거래소 파산 시 고객 자산 회수가 장기간 지연되거나 불가능했던 경험이 있다는 점은 명심해야 합니다.
8. “Not Your Keys, Not Your Coins”의 의미
가상자산 업계에 유명한 말이 있습니다. ‘Not your keys, not your coins.’ 즉, 내 지갑 키가 아니면 내 코인이 아니라는 뜻이죠. 거래소에 맡긴 순간, 그 코인은 거래소의 통제하에 놓이며, 거래소의 안정성과 내부 통제에 따라 안전성이 좌우됩니다. 이는 스스로 자산에 대한 통제권을 가지라는 경고이자, 거래소 선택에 있어 신중해야 할 이유를 시사합니다.
9. 전통 금융과의 대비: 취약한 외부 견제
주식 시장은 증권사, 거래소, 예탁결제원이 역할을 나누어 상호 견제하는 3중 안전 장치를 가지고 있습니다. 그러나 가상자산 거래소는 이 세 가지 역할을 모두 혼자 수행합니다. 주문도 받고, 거래도 체결하고, 보관과 결제까지 담당하죠. 이는 ‘은행장이 혼자서 모든 것을 하는’ 구조와 유사하며, 외부 견제가 사실상 불가능한 취약한 구조입니다. 이번 빗썸 사태는 이러한 시스템의 근본적인 문제점을 드러낸 것입니다.
10. 삼성증권 유령 주식 사태와의 비교
2018년 삼성증권에서도 유사하게 ‘유령 주식’이 생성되어 시장에 풀렸던 사건이 있었습니다. 주당 1,000원을 지급해야 할 것을 1,000주로 잘못 입력하여 회사 발행 주식의 31배가 넘는 유령 주식이 만들어졌고, 직원들의 매도로 주가가 급락했습니다. 이 사건은 주식이라는 법적 지위 덕분에 관련 직원들이 형사 처벌을 받았고, 삼성증권 역시 징계를 받으며 시스템이 강화되는 결과를 낳았습니다. 하지만 빗썸 사태에서 유령 코인을 매도한 고객들은 형법상 횡령죄 적용이 어려워 법적 책임의 차이를 보입니다.
11. 가상자산의 법적 지위와 ‘죄형법정주의’
대법원은 비트코인을 ‘재물’로 보지 않아 횡령죄 적용을 어렵다고 판단했습니다. 이는 ‘법에 써 있지 않으면 벌줄 수 없다’는 죄형법정주의 원칙에 따른 것으로, 주식과 달리 가상자산의 모호한 법적 지위가 형사 처벌의 걸림돌이 됩니다. 비록 사기죄 대상이 되는 ‘재산상 이익’으로는 인정되지만, 물건은 아니라는 애매한 포지션이 이번 사건에서도 문제점으로 부각되고 있습니다.
12. 인간의 심리: ‘공짜 돈’ 효과
80여 명의 고객이 유령 코인을 매도 버튼을 누른 것이 단순히 도덕적 문제일까요? 노벨 경제학상 수상자 리처드 세일러 교수의 ‘심리적 회계’ 이론에 따르면, 사람은 ‘공짜 돈’ 앞에서 이성적인 판단을 하기 어렵습니다. 35분이라는 시간 압박, 수천억 원이라는 상상 초월의 금액, 그리고 이벤트로 받은 돈이라는 프레이밍까지 겹치면 오히려 매도하지 않는 것이 더 어려운 상황이 됩니다. 문제는 인간의 도덕성이 아닌, 이러한 심리를 방어할 시스템의 부재입니다.
13. 더 나은 시스템이 필요한 이유
결론적으로 이번 빗썸 사태의 핵심은 80명의 도덕성이 아닙니다. 인간은 35분 안에 2,440억 원 앞에서 합리적으로 판단하지 못합니다. 수십 년간의 연구가 이를 증명합니다. 우리에게 필요한 것은 더 높은 도덕성이 아니라, 잘못된 키 입력이나 인간의 욕심이 시스템 붕괴로 이어지지 않도록 막을 수 있는 ‘더 나은 시스템’입니다. 비정상적인 거래를 자동으로 차단하고, 실제 보유량과 장부상 수량이 상시 일치하도록 검증하는 안전 장치가 필수적입니다.
14. 해외 사례와 규제 논의
2021년 탈중앙화 금융 프로토콜 ‘컴파운드 파이낸스’에서도 코드 오류로 2천억 원 규모의 토큰이 잘못 지급된 유사 사례가 있었습니다. 당시 창립자가 토큰 반환을 호소하며 세무 당국 신고를 언급하는 등 진통을 겪었으나, 상당수의 토큰이 회수되지 못했습니다. 금융위원회는 이번 빗썸 사태를 계기로 금감원, 금전원, 거래소 공동 대응반을 구성하고 모든 거래소의 내부 통제 시스템 점검을 지시했습니다. 디지털 자산 기본법 논의와 연계하여 금융 회사 수준의 내부 통제 기준 의무화, 외부 기관의 정기 자산 점검, 무과실 책임 규정 도입 등을 검토 중입니다.
15. 나아갈 방향: 총량 관리와 외부 견제
해외 주요 거래소들은 이미 ‘준비금 증명(Proof of Reserves)’ 시스템을 운영하며 거래소 보유 코인과 고객 화면 표시 총량이 일치하는지 암호 기술로 검증하고 있습니다. 하지만 이를 법으로 표준화하고 의무화하는 것은 아직 미흡한 상태입니다. 전문가들은 보유 자산과 장부상 수량이 상시 일치하도록 점검하고, 보유량을 넘는 지급은 입력 단계에서부터 불가능하게 해야 한다고 강조합니다. 8년 전 삼성증권 사태 이후 시스템이 대폭 강화되었듯이, 이번 빗썸 사건 역시 가상자산 시장 전체의 구조를 근본적으로 재편하는 계기가 되어야 할 것입니다.
16. 결론: ‘휴먼 에러’를 넘어선 시스템
직원의 입력 실수는 어디서든 일어날 수 있습니다. 인간은 완벽하지 않으니까요. 하지만 진짜 문제는 그 작은 실수 하나가 실보유량의 14배에 달하는 유령 코인을 만들면서도 왜 어떤 경보도 울리지 않았느냐는 것입니다. 천조 단위 시장으로 성장한 가상자산 시장이 여전히 ‘휴먼 에러’ 하나에 무너질 수 있는 취약한 구조 위에 있다는 사실은 우리에게 큰 숙제를 안겨줍니다. 80명을 비난하기는 쉽지만, 만약 우리가 그 자리에 있었다면 어땠을까요? 이 불편한 질문이야말로 이번 사태가 던지는 가장 중요한 메시지이며, 더 안전하고 신뢰할 수 있는 가상자산 시장을 만들기 위한 시스템 개선의 필요성을 강력하게 역설합니다.
