60조 원대 규모의 '유령 비트코인' 사태는 실체 없는 숫자에 불과했던 중앙화 거래소 시스템의 취약성과 흩어지는 신뢰를 상징적으로 보여준다. [이미지 = AI생성 이미지]
1. 신뢰가 증발한 '죽음의 40분'
2026년 2월 6일 금요일 저녁, 대한민국 가상자산 시장은 전례 없는 충격과 공포에 휩싸였다.
국내 가상자산 거래소 점유율 2위를 기록하고 있는 빗썸(Bithumb)에서 존재하지 않는 비트코인(BTC) 62만 개가 허공에서 생성되어 수많은 고객의 계좌로 무차별적으로 입금되는 초유의 금융 사고가 발생했기 때문이다.
사고 당시 비트코인 시세가 개당 9,800만 원 안팎이었음을 감안하면, 오지급 규모는 한화로 환산해 약 60조 원대에 달하는 것으로 추정된다.
비트코인의 총발행량이 2,100만 개로 제한되어 있다는 점을 고려하면, 전 세계 유통량의 약 3% 수준에 육박하는 막대한 물량이 단 한 번의 전산 입력 실수로 풀려버린 셈이다.
이번 사건은 지난 2018년 발생했던 삼성증권의 '유령 주식' 배당 사고를 그대로 답습한 '디지털 금융 참사'이자, 우리가 안전하다고 믿고 거래하던 중앙화 거래소(CEX)의 시스템이 사실은 얼마나 취약한 기반 위에 있는지를 적나라하게 보여준 사건으로 기록될 것이다.
비록 거래소 측의 긴급 조치로 약 40분 만에 사태는 수습 국면에 접어들었지만, 그 짧은 시간 동안 발생한 시장의 혼란과 가격 왜곡, 그리고 무엇보다 투자자들의 마음속에 각인된 불신은 가상자산 시장의 신뢰라는 근간을 크게 흔들고 있다.
코리아비즈니스리뷰(KBR)는 이번 빗썸 사태의 발생 원인과 과정을 심층 분석하고, 가상자산 시장이 직면한 구조적 문제점과 향후 과제를 면밀히 진단한다.
2. '원(KRW)'과 '비트코인(BTC)'의 치명적 혼동
이벤트 보상이 재앙으로 번지다
사태의 발단은 너무나도 사소하고 일상적인 업무에서 시작되었다. 빗썸은 이날 특정 이벤트에 참여한 당첨자들을 대상으로 소액의 리워드 포인트를 지급할 예정이었다. 당초 계획대로라면 1인당 수천 원에서 최대 수만 원 상당의 원화(KRW) 포인트가 지급되어야 했다.
그러나 이 과정을 담당하던 직원의 입력 실수, 이른바 금융권에서 가장 경계하는 '팻 핑거(Fat Finger)' 오류가 발생했다.
지급 단위를 설정하는 과정에서 'KRW(원)'가 아닌 'BTC(비트코인)'로 잘못 입력한 채 승인 버튼을 누른 것이다. 이 실수 하나로 인해 10,000원을 받아야 할 고객에게 10,000 BTC, 즉 약 1조 원에 달하는 자산이 입금되는 황당하고도 위험천만한 상황이 연출되었다.
장부 거래(Off-chain)의 구조적 맹점
여기서 대다수의 일반 투자자와 독자들은 핵심적인 의문을 가질 수밖에 없다. "도대체 빗썸이 실제로 보유하지도 않은, 빗썸의 금고(지갑)에 있지도 않은 62만 개의 비트코인이 어떻게 고객 계좌로 입금될 수 있었을까?" 이 질문에 대한 답은 중앙화 거래소(CEX)의 작동 방식인 '장부 거래(Off-chain)' 시스템에 있다.
중앙화 거래소는 블록체인 상에서 실시간으로 코인을 이동시키는 온체인(On-chain) 방식을 매 거래마다 사용하지 않는다. 그렇게 할 경우 막대한 가스비(수수료)와 느린 전송 속도 때문에 원활한 트레이딩이 불가능하기 때문이다.
대신 거래소는 내부의 중앙 데이터베이스(DB)상에서 숫자만을 바꾸는 방식으로 거래를 처리한다. 즉, 고객이 비트코인을 샀다고 해서 실제로 블록체인상에서 비트코인이 이동하는 것이 아니라, 거래소의 장부에 "A 고객의 비트코인 잔고 +1"이라고 기록될 뿐이다.
KBR Insight: 중앙화 거래소의 '엑셀 장부' 리스크
엄밀히 말해 중앙화 거래소의 원장은 거대한 '엑셀 파일'과 유사하게 작동한다. 실제 핫월렛(Hot Wallet)이나 콜드월렛(Cold Wallet)에 해당 코인이 없어도, 관리자 권한을 가진 시스템이 DB에 숫자를 입력하면 고객의 화면(UI)에는 자산이 입금된 것으로 표시된다. 이번 사태는 거래소의 지급 시스템이 실제 보유고(Reserve)와 지급해야 할 부채(Liability)를 대조하는 가장 기초적인 무결성 검증 로직(Validation Logic)조차 없이 작동했다는 것을 방증한다. 이는 단순한 실수가 아니라 시스템 설계의 결함이다.
3. 시스템은 없었고, 시장은 패닉에 빠졌다
내부 통제 시스템의 총체적 부실
이번 사고를 단순히 개인의 실수로 치부해서는 안 되는 이유는 명확하다. 수십조 원, 아니 국가 예산의 10%에 달하는 자금이 이동하는 과정에서 금융 시스템이라면 응당 갖춰야 할 '이중, 삼중의 안전장치'가 전무했기 때문이다.
1) 리밋(Limit) 설정의 부재: 금융권에서는 통상적으로 일정 금액 이상의 자금이 이체되거나 거래될 때, 시스템이 자동으로 이를 감지하고 차단하는 '리밋 시스템'이 작동한다. 그러나 빗썸의 시스템은 회사 전체 보유분보다 훨씬 많은 자산이 출금되거나 이체될 때 경고등을 울리거나 프로세스를 중단시키는 '서킷 브레이커' 기능이 작동하지 않았다.
2) 승인 절차(Maker-Checker)의 허점: 수십조 원 규모의 자산 이동이 실무자 한 명의 엔터키 입력으로 실행되었다는 점은 빗썸의 내부 통제 시스템이 사실상 장식품에 불과했음을 시사한다. 작성자(Maker)와 승인자(Checker)가 분리되어 교차 검증을 하는 기본적인 절차가 무시되었거나, 형식적으로만 존재했을 가능성이 크다.
3) 가상자산 특수성의 간과: 주식과 달리 가상자산은 소수점 단위 거래가 빈번하고 단위 간 가치 차이가 극명하다. 원화와 비트코인의 가치 차이는 약 1억 배에 달한다. 이러한 특성을 고려한 UX/UI 설계가 이루어지지 않아, 단위 입력 오류를 사전에 방지할 수 있는 직관적인 인터페이스가 부재했다.
시장 왜곡과 투자자 피해의 확산
계좌에 갑자기 수백억, 수천억 원이 찍힌 것을 확인한 일부 이용자들은 이를 횡재로 여기거나 시스템 오류임을 직감하고 즉시 매도를 시도했다.
빗썸 내부 장부에서만 존재하는, 실체가 없는 이 '유령 비트코인'이 매물로 쏟아지자 시장은 즉각 반응했다. 빗썸 내 비트코인 가격은 순식간에 타 거래소 대비 17% 이상 폭락하며 한때 8,100만 원대까지 주저앉았다.
이 과정에서 영문을 모르는 일반 투자자들은 갑작스러운 시세 폭락에 극심한 공포를 느꼈다. 대형 악재가 터졌다고 오판한 투자자들은 보유하고 있던 코인을 헐값에 던지는 '패닉 셀(Panic Sell)'에 동참했다.
빗썸 측은 사태 발생 40여 분 뒤에야 출금을 전면 차단하고 서버를 롤백(Roll-back, 시점 복구) 했지만, 이미 체결된 거래로 인한 시장의 혼란과 심리적 타격은 돌이킬 수 없는 상처를 남겼다. 특히 다른 거래소와의 시세 차이를 이용하려는 아비트라지(재정거래) 봇들이 작동하면서 혼란은 가중되었다.
4. 업계 반응 및 기업 전략: 빗썸의 수습책과 규제 당국의 움직임
"110% 보상안"과 구체적인 피해 수습 현황
빗썸은 사고 직후 긴급 공지를 통해 사태 수습 현황을 구체적으로 공개했다. 회사 측에 따르면 오지급된 총 62만 BTC 가운데 61만 8,212개(99.7%)를 즉각 회수 조치했으며, 이미 시장에서 매도된 1,788 BTC에 대해서도 약 93%를 추가로 회수했다고 밝혔다.
또한 빗썸은 이번 사태로 인한 회사의 직접적인 손실 규모를 약 10억 원 내외로 추산하면서, 투자자 피해 구제안을 함께 발표했다. 회사 측은 "사고 발생 당일인 2월 6일 오후 7시 30분부터 7시 45분 사이, 시세 급락으로 인해 저가에 비트코인을 매도하여 손실이 발생한 고객에게 매도 차액 전액에 10%를 더한 '110% 보상'을 제공하겠다"고 밝혔다.
아울러 고객 신뢰 회복을 위해 일정 기간 동안 거래 수수료를 전면 면제하는 방안도 함께 제시했다. 이는 금전적 보상을 통해 이탈하려는 고객 마음을 잡겠다는 의도로 풀이된다.
'가상자산이용자보호법' 이후 첫 시험대
이번 사고는 지난 2024년 7월 19일 시행된 '가상자산이용자보호법' 이후 발생한 첫 대형 전산 사고라는 점에서도 파장이 크다.
금융위원회, 금융정보분석원(FIU), 금융감독원 등 금융 당국은 즉각 현장 점검과 사실 관계 파악에 착수했으며, 사고 경위와 내부 통제 체계의 적정성을 집중적으로 들여다보고 있다.
그동안 가상자산 규제의 초점이 자금세탁방지(AML)와 고객확인(KYC) 등 불법 행위 차단에 맞춰져 있었다면, 이번 사태를 계기로 '전산장애·사고 예방 대책'과 '내부 통제 매뉴얼의 실효성'을 강화해야 한다는 목소리가 커지고 있다.
업계 관계자들은 이번 빗썸 사태가 향후 가상자산사업자(VASP) 갱신 심사에서 '시스템 안정성' 평가 기준을 대폭 상향시키는 기폭제가 될 것으로 전망하고 있다.
5. 향후 전망 및 시사점: '무결성 증명'의 시대가 온다
'묻지마 투자'에서 '검증된 거래'로의 패러다임 전환
이번 빗썸 사태는 가상자산 시장이 덩치(시가총액) 면에서는 기존 금융 시장을 위협할 만큼 성장했을지 몰라도, 그 운영 시스템과 내실은 여전히 초기 단계에 머물러 있음을 보여주는 사례다. 투자자들은 이제 단순히 수수료가 저렴하거나 UI가 편리한 거래소를 찾는 단계를 넘어섰다.
앞으로 거래소 선택의 기준은 '시스템의 안정성', '투명성', 그리고 '위기 관리 능력'으로 이동할 가능성이 높다. 실제 업계 일각에서는 이번 사고를 계기로 중앙화 거래소 의존도가 완화되고, 탈중앙화 거래소(DEX)와 개인 지갑(Self-custody)에 대한 관심이 커질 수 있다는 전망을 내놓고 있다.
필수적인 과제: PoR 고도화와 책임 강화
이제는 거래소가 말로만 "안전하다", "자산이 분리 보관되어 있다"고 외치는 마케팅의 시대는 끝났다. 빗썸 사태가 남긴 과제는 명확하다.
1) PoR 검증의 고도화: 가상자산 거래소의 신뢰 회복을 위해, 블록체인 기반 지급준비금 증명(Proof of Reserves·PoR)을 보다 엄격한 수준으로 도입·고도화해야 한다는 요구가 커지고 있다. 단순히 주기적인 스냅샷이 아니라, 머클 트리(Merkle Tree) 구조를 활용해 거래소 지갑 잔고와 고객 예치금을 수시로 대조·검증하는 시스템이 법·제도 차원에서 명확히 정비될 필요가 있다는 지적도 나온다.
2) 시스템적 안전장치 강화: 사람의 실수는 언제든 발생할 수 있다. 따라서 시스템적으로 이를 막아야 한다. 비정상적인 규모의 주문이나 이체 시 자동으로 락(Lock)이 걸리고, 다수의 관리자가 생체 인식 등을 통해 승인해야만 실행되는 다중 서명(Multi-sig) 체계를 내부 운영 시스템에도 도입하는 방안이 검토되어야 한다.
3) 책임 소재의 명확화: 또한 대규모 전산 사고에 대해서는 거래소가 보다 강화된 책임을 지도록 징벌적 손해배상제, 보험·공제 의무 확대 등 제도적 장치를 검토해야 한다는 의견이 제기되고 있다. 솜방망이 처벌로는 기업들의 안전불감증을 근본적으로 해결하기 어렵다는 것이 다수 전문가들의 견해다.
금융은 신뢰를 먹고 자란다. 60조 원의 유령 비트코인이 휩쓸고 간 자리, 빗썸뿐만 아니라 한국 가상자산 시장 전체가 '신뢰'라는 무너진 탑을 다시 처음부터 쌓아야 하는 힘겨운 과제를 떠안게 되었다.
지금 필요한 것은 화려한 이벤트나 수수료 무료 정책이 아니다. 기본을 지키는 단단한 시스템, 그리고 실수를 기술로 통제할 수 있는 완벽한 무결성의 증명이다.