비트코인 62만 개, 시세로 약 60조 원어치가 이벤트 당첨금 명목으로 잘못 지급되었던 사건이 있었습니다. 이 숫자를 처음 접했을 때 저는 솔직히 숫자가 잘못 쓰인 줄 알았습니다. 그런데 실제 사건이었고, 문제는 그 구조적 허점이 어제오늘 일이 아니라는 데 있었습니다. 투자자 입장에서 개인적인 생각을 적어 보았습니다.
1. 약 60조 사건
지난번 빗썸사태로 인해 제가 가장 불편했던 부분은 사고 그 자체보다 사고가 가능한 구조였다는 점입니다. 금융당국이 빗썸을 비롯한 디지털자산거래소들을 현장 점검한 결과, 상당수 원화마켓의 잔고대사를 하루에 한 번, 즉 24시간 주기로만 실시하고 있었던 것으로 확인됐습니다.
여기서 잔고대사란, 거래소의 전산원장에 기록된 코인 수량과 실제 블록체인 지갑에 보관된 수량이 일치하는지 대조하는 작업입니다. 24시간 쉬지 않고 돌아가는 가상자산 시장에서 하루 한 번 대조하는 것은 사실상 사고가 발생해도 다음 날 아침에야 인지할 수 있다는 말과 같은 것 같습니다.
더 심각한 것은 고위험거래 계정 관리였다고 합니다. 고위험거래란 임직원이 수작업으로 직접 개입하는 이벤트 보상 지급처럼, 자동화된 시스템을 거치지 않고 사람이 직접 처리하는 거래를 말합니다.
점검 결과 일부 거래소는 고유계정과 고위험거래 계정을 분리조차 하지 않았고, 실무자 혼자 또는 부서장 한 명의 승인만으로 자산 집행이 이뤄지는 구조였다고 합니다.
다중 승인체계(Multi-Approval System)가 없었던 것입니다. 다중 승인체계란 한 명이 실수를 해도 다른 검토자가 이를 걸러낼 수 있도록 복수의 담당자가 순차적으로 승인해야 처리되는 구조를 말합니다. 이 구조가 없으면 클릭 한 번의 실수가 60조짜리 사고로 이어질 수 있다는 걸 이번 사태가 증명했다고 볼 수 있을 것 같습니다.
2. 약 112조 사건
8년 전 삼성증권의 유령 주식 사고와 판박이였습니다. 당시 우리 사주 배당 시스템은 현금 배당과 주식 배당이 동일한 화면에서 처리되는 과정에서 배당금 1,000원이 주식 1,000주로 오 기록되어 처리되었던 사건입니다. 발행 주식 총수가 8,900만 주인데 30배가 넘는 28억 주가 입고됐지만 이를 자동으로 막는 장치가 전혀 없었다고 합니다.
그리고 1,820억 원의 거래가 이루 진 것이죠. 알만한 내부직원들도 잘못된 사항인 줄 알면서도 매도를 했던 것을 언론에서 다루기도 했던 것 같습니다. 언론에서 두 사건을 판박이라 보도할 때 저도 바로 이 사건이 생각나 그 의견에 동의했는데, 한편으로는 씁쓸함이 밀려왔습니다.
당시에도 사람들 사이에서 회자되던 것은 시스템상 그러한 거래가 가능했다는 것은 공매도제도와 맞물려 이런 공매도가 가능하지 않았나 하는 점이 부각되면서, 공매도를 한 후에 장종료 후 결산 때까지만 맞추면 되지 않았겠느냐 하는 의문이었던 것 같습니다.
총 발행주식수를 벗어난 이상한 거래였기에 발견한 것이 아니냐는 물음이 존재했던 것 같습니다. 당시에도 공매도에 멍든 개인 투자자들이 많을 수 있었기에 나온 의견이었던 것 같습니다.
증권사 전산 시스템에 한국 예탁원의 진위검증이 완료될때까지 자동으로 매도를 제한하고, 발행주식 총수를 초과하는 주식 입고를 원천적으로 차단하는 시스템을 만들었다고 합니다.
3. 개선방향의 핵심은?
금융위원회는 4월 6일 가상자산 업계 간담회를 열고 제도개선 방향을 발표했습니다. 이번 개선안의 핵심은 세 가지로 압축됩니다.
첫째로는 5분 주기 자동 잔고대사 시스템 구축 의무화이며, 둘째로는 유의미한 수량 차이 발생 시 자동 경보를 발령하고 대규모 불일치 시는 즉시 거래를 차단하는 킬스위치 발동 기준 마련했으며, 셋째는 외부 회계법인을 통한 자산 실사 주기를 분기에서 월 단위로 단축한 것입니다.
여기서 킬스위치(Kill Switch)란 대규모 불일치 거래 시 시스템이 자동으로 거래를 즉시 차단하는 비상정지 장치를 말합니다. 이번 빗썸 사태에서 오지급 된 코인의 일부가 이미 시장에 팔려나간 뒤에야 사고가 인지됐다는 점에서, 킬스위치는 피해를 최소화하기 위한 가장 직접적인 수단 같습니다.
또한 공시 범위도 바뀝니다. 기존에는 단순 보유 비율만 공개했지만, 앞으로는 종목별 블록체인 보유 수량과 장부상 수량을 구체적으로 명시해야 합니다. 이와 함께 위험관리책임자(CRO) 임명과 위험관리위원회 설치가 의무화되고, 준법감시인이 매반기 이사회에 내부통제 현황을 보고한 뒤 금융당국에 제출하는 체계도 도입됩니다.
보유 수량 공시가 불투명했던 것들이 이번의 조치로 명확해져 다행이라는 생각이 듭니다. 온체인 데이터(On-chain Data)와 장부 수량이 얼마나 일치하는지를 공개하는 것은 디지털자산 거래소의 가장 기본적인 신뢰 지표입니다. 온체인 데이터란 블록체인 네트워크상에 실제로 기록된 거래 내역과 잔액 정보를 뜻하며, 이와 장부상 수치가 다르다면 그 차이만큼은 사실상 '없는 자산'으로 거래된 것과 같습니다.
실제로 이번 사태 이후 일부에서는 오지급 된 코인을 팔아도 되는 것 아니냐는 이야기가 돌았습니다. 착오 입금 관련 대법원 판례를 언급하면서요. 저도 처음에는 "나에게는 이런 일이 없나?" 이런 생각이 잠깐 스쳤는데, 어느 전문 교수님의 설명을 듣고 바로 생각을 고쳤습니다.
온체인 데이터에 기록되지 않은 비트코인은 정당한 거래 대상으로 인정받을 수 없다는 논리였습니다. 쉽게 말해 블록체인에 존재 기록조차 없는 코인을 팔았다면, 그건 종이금처럼 실물 없이 숫자만 주고받은 거래에 가깝다는 것입니다. 그 설명을 듣고 나서 제가 잠깐 그런 생각을 했다는 게 굉장히 부끄럽게 느껴졌습니다.
4. 변화하는 디지털시장
금융당국은 이달 중 DAXA(디지털자산거래소 공동협의체)의 자율규제 개정을 마무리하고, 5월까지 각 원화마켓의 전산 시스템 구축을 완료할 방침이라고 합니다. 여기서 닥스(DAXA)란 국내 주요 가상자산 거래소들이 자율규제를 위해 구성한 민간 협의체를 뜻하는 말입니다.
이번 개선안의 핵심 내용은 2단계 가상자산법(디지털자산법)에도 반영해 강제성을 부여할 생각인가 봅니다.
한편, 금융감독원은 빗썸에 대한 검사를 통해 조직·업무·전산시스템 등 내부통제 전반의 문제점을 확인했으며, 가상자산이용자보호법 위반 여부 검토가 마무리되는 대로 제재 절차에 착수할 거라 합니다.
2018년 삼성증권 유령 주식 사태 당시 고작 1억 4,400만 원의 과태료와 영업 일부 정지로 마무리됐다는 점을 떠올리면, 이번에도 비슷한 수준의 처분이 내려진다면 또 한 번 쓴웃음을 짓게 될 것 같습니다. 112조 원 규모의 사고에 그 정도 처분이라면, 억지력이 있다고 보기 어렵습니다. 당시에 피해를 입은 분들께 피해액의 50%를 배상하라는 판결이 나올 걸로 압니다.
다만, 이번 조치가 과도한 규제로 흘러 디지털자산 시장의 성장 자체를 저해하는 방향이 되어서는 안 된다는 생각도 있습니다. 5분 주기 잔고대사나 킬스위치 도입 같은 기술적 안전장치는 투자자 보호와 시장 건전성 양쪽에 모두 필요한 조치입니다.
그러나 규제가 세밀해질수록 거래소들의 시스템 구축 부담도 커지는 만큼, 이행 기준과 유예 기간을 합리적으로 설계하는 것이 중요하다고 생각합니다.
제 경험상 어떤 시장이든 신뢰 기반이 무너지면 회복하는 데 훨씬 오랜 시간이 걸립니다. 가격은 돈 많은 쪽이 결정한다는 말이 떠오를 때마다, 기울어진 운동장에서 달려온 개인 투자자들이 생각납니다. 저도 그중 한 명입니다. 이번 개선안이 그 운동장을 조금이라도 수평으로 만드는 계기가 됐으면 합니다. 좋은 시스템이 갖춰질 때 비로소 디지털자산 시장도 건강하게 성장할 수 있다고 생각합니다.
참고: https://www.hani.co.kr/arti/economy/economy_general/1243884.html
https://www.fnnews.com/news/20260406120956232
◇ 본 글은 개인적인 경험과 의견을 바탕으로 작성된 것으로, 금융 투자를 유도하는 것이 아닙니다. 디지털자산 투자는 원금손실에 위험이 있으니 반드시 본인의 판단과 책임 하에 이루어져야 합니다.