국내 가상자산 시장에서 전례를 찾기 어려운 초대형 운영 사고가 발생했다. 이벤트 보상 ‘2000원’을 지급해야 할 자리에 ‘2000BTC’가 입력되면서 존재하지 않는 비트코인 수십만 개가 이용자 계정에 찍혔다. 장부상 약 61조 원이 생성됐다가 사라졌다. 해킹이 아니라 내부 입력 실수와 통제 부재가 원인이었다는 점에서 파장이 크다.

빗썸은 확률형 ‘랜덤박스’ 이벤트를 진행하던 중, 지난 6일 저녁 보상 지급 과정에서 직원이 단위를 ‘KRW’ 대신 ‘BTC’로 잘못 선택했다. 이로 인해 1인당 2000원이 아닌 2000BTC가 지급됐고, 이벤트 참여자 중 249명이 박스를 개봉하면서 총 62만 BTC가 장부에 반영됐다. 이는 전 세계 비트코인 총발행량의 약 3%로, 당시 시세 기준 60조 원대 규모다.

일부 이용자가 즉시 매도에 나서며 시장에는 실제 매물 압력이 발생했고, 투매가 겹치면서 가격은 단시간 두 자릿수 하락을 기록했다. 거래소는 약 30여 분 만에 이상거래를 차단했고, 오지급 물량 대부분을 회수했다. 저가 매도 고객에게는 차액 보상과 추가 보상이 이뤄질 예정이다. 그러나 신뢰 손상은 금액으로 환산하기 어렵다는 평가가 나온다.

이번 사고는 중앙화 거래소의 구조적 취약성을 드러냈다. 거래소는 입·출금 때만 블록체인에 기록하고 내부 매매는 데이터베이스 잔고만 바꾸는 ‘장부거래’ 방식을 사용한다. 실물 보유량과 무관하게 숫자가 생성될 수 있는 구조다. 최근 추정되는 빗썸 보유 물량과 비교하면 회사 자산의 수천 배에 해당하는 코인이 장부에 찍혔다가 사라진 셈이다. 금융 인프라의 기본인 자산 이동 통제와 다중 승인 체계가 작동하지 않았다는 의미다.

금융위원회는 긴급 점검회의를 열어 전 거래소 내부통제 체계를 전면 재점검하라고 지시했다. 빗썸은 2단계 이상 결재 의무화, 입력 실수 방지 장치, 이상거래 탐지 강화 등을 사후 대책으로 내놨다. 그러나 수십조 원 규모 자산 이동이 단일 승인으로 가능했다는 사실 자체가 통제 설계 실패라는 지적이 나온다.

해외 주요 거래소들은 구조적으로 다른 안전장치를 둔다. 미국 상장사인 Coinbase는 외부 회계감사와 공시 의무를 지며 고객 자산을 회사 자산과 분리 보관한다. Binance 역시 준비금 증명 공개, 콜드월렛 중심 보관, 이상 규모 출금 차단 등을 병행한다. 단일 입력이 곧 대규모 자산 이동으로 이어지지 않도록 기술·절차·감사를 동시에 적용하는 방식이다.

법적 쟁점도 남아 있다. 일부에서는 “잘못 받은 코인은 반환하지 않아도 된다”는 주장도 나오지만, 국내 법리의 원칙은 부당이득 반환이다. 형사책임과 별개로 민사상 반환 의무는 유지된다. 다만 수령자의 인지 가능성, 약관, 시스템 책임 분담 등에 따라 구체적 범위는 달라질 수 있다.

업계에서는 ‘코인 뿌리기식’ 이벤트 경쟁도 재검토해야 한다는 목소리가 커지고 있다. 대규모 일괄 지급이 반복될수록 작은 입력 실수도 시장 충격으로 이어질 가능성이 높아진다. 거래소가 사실상 금융기관 역할을 수행하는 만큼, 은행·증권사 수준의 내부통제와 외부 검증 체계를 갖추지 못하면 같은 사고는 반복될 수밖에 없다.