[IT 동아] [크립토퀵서치] 디지털자산 거래소의 장부거래란 무엇인가요?

[IT동아 한만혁 기자] 디지털자산(가상자산) 거래소 빗썸에서 비트코인 62만 개가 오지급되는 사고가 발생했습니다. 거래소가 실제 보유하지 않은 ‘유령 비트코인’이 고객에게 지급되고, 실제 거래까지 이뤄진 것이죠. 빗썸은 사고 인지 후 빠르게 대처하고, 조치 과정을 투명하게 공개했습니다. 하지만 빗썸 내 시세 급락으로 제3의 피해자가 발생했습니다.

그런데 빗썸은 어떻게 실제 보유하지 않은 비트코인을 고객에게 지급할 수 있었을까요? 이는 거래소가 이용하는 장부거래 시스템 때문입니다. 이번 시간에는 장부거래가 무엇인지, 왜 빗썸에서 오지급 사고가 발생했는지 알아보겠습니다.

우선 빗썸의 비트코인 오지급 사고부터 살펴보겠습니다. 빗썸은 지난 2월 6일 오후 7시 랜덤박스 이벤트 참여자 695명에게 당첨금을 지급했습니다. 당첨금은 2000원에서 5만 원 사이였습니다. 그런데 지급 과정에서 담당자가 실수로 단위를 ‘원’이 아닌 ‘비트코인’으로 입력했습니다. 2000원을 지급해야 할 이벤트 참여자에게 비트코인 2000개(약 1900억 원 상당)를 지급한 것이죠.

당시 오지급된 비트코인은 총 62만 개입니다. 하지만 빗썸이 실제 보유한 비트코인은 약 4만 2000개에 불과합니다. 자사 보유량은 175개이고, 나머지는 이용자가 위탁한 물량입니다. 즉 실제 보유하지 않은 ‘유령 비트코인’이 생성돼 이용자에게 지급된 것입니다.

실제 보유하지 않은 물량을 지급할 수 있었던 이유는 장부거래 시스템 때문입니다. 장부거래는 전산 장부(데이터베이스)로 자산을 관리하는 방식을 말합니다. 거래가 발생하면 우선 전산 장부상의 수치를 조정하고, 이후 정산 절차를 통해 장부상 수치와 실제 보유량을 맞춥니다. 그러니까 빗썸이 처음 지급한 물량은 실제 자산이 이동한 것이 아니라 장부상 수치만 바뀐 것입니다. 이런 이유로 오지급이 가능했던 것이죠.

장부거래는 빗썸뿐 아니라 다른 디지털자산 거래소와 은행, 증권사 등 전통 금융기관도 이용하는 방식입니다. 거래 속도를 높이고 수수료를 줄일 수 있다는 장점 때문입니다.

은행의 경우 A 은행에서 B 은행으로 일정 금액을 계좌 이체할 때 전산상 잔액을 먼저 조정하고 영업 종료 후 차액 정산을 통해 은행 간 자금을 옮깁니다. 증권사도 고객이 주식을 매수하면 전산상 수량을 먼저 바꾸고 이후 정산 절차를 통해 모든 거래에 대한 차액을 맞춥니다.

디지털자산 거래소는 내부에서 고객 계정 간 발생하는 거래를 장부에 반영한 후 특정 시점에 장부의 수치와 실제 자산을 맞춥니다. 만약 고객이 디지털자산을 외부로 출금하면 그때 블록체인으로 전송합니다.

그렇다면 왜 빗썸에서 오지급 사고가 발생한 걸까요? 문제는 허술한 내부통제입니다. 전통 금융권의 경우 영업 종료 후 별도 정산 과정을 거칠 때 한국거래소, 예탁결제원, 은행 등 여러 기관이 참여해 오류를 줄입니다. 또한 오랜 기간 축적한 규제와 감독 체계를 갖추고 있습니다. 은행법, 자본시장법 등에 따라 엄격한 내부통제 기준을 적용합니다.

하지만 디지털자산 거래소는 입출금, 장부 관리, 정산 등 모든 과정을 직접 처리합니다. 내부통제에 대한 구체적인 규제도 마련되지 않은 상태죠. 실제로 빗썸은 장부 수치와 실제 디지털자산 지갑 잔액을 하루에 한 번만 검증했습니다. 다중 결재 시스템도 갖추지 않았고, 이벤트 당첨금 지급 계정도 분리하지 않았습니다. 이런 부실한 내부통제 탓에 오지급 사고가 발생한 것입니다.

그렇다면 다른 거래소는 어떨까요? 업비트는 실시간 검증 시스템을 운영하고 있습니다. 자체적으로 구축한 준비자산 증명 시스템(Diff Monitoring)을 통해 실제 보유량과 전산 장부상 수치를 상시 대조하며 자산의 정합성을 유지합니다. 이를 통해 실제 보유하지 않은 물량이 생성되는 것을 방지합니다.

또한 이벤트 보상 지급 시 이벤트 지급 전용 계정을 운영하며 지급 예정 물량을 사전에 확보한 뒤 해당 계정에 반영합니다. 이벤트 지급 예정 물량을 초과하는 자산 이동이 발생할 수 없도록 시스템적으로 조치한 것입니다. 디지털자산 사전 검증, 지급 집행, 상시 모니터링 기능을 서로 다른 조직에 분담해 이벤트 지급 과정에서 발생할 수 있는 입력 실수, 과지급, 시스템 오류 등의 위험도 사전에 차단합니다.

코인원은 실제 보유량과 서비스 데이터베이스 검증 절차를 통해 자산 정합성을 확인하고, 일치하지 않으면 거래를 중단하는 제로 디펙트(Zero-Defect) 모니터링으로 유령 자산 발생을 원천 차단합니다. 또한 고객 지급용 자산을 이벤트 전용 지갑에 격리하고, 운영과 승인 권한을 조직 간 분산한 후 교차 검증을 통해 인적 오류, 권한 남용을 방지합니다. 이 외에도 서비스 및 시스템 기획 단계부터 리스크를 필터링하고, 개발부터 운영까지 이어지는 4단계 격리 환경 테스트로 결함을 최종 제어합니다.

디지털자산이 제도권 금융상품으로 자리 잡기 위해서는 거래소의 내부통제 강화가 필수입니다. 빗썸의 오지급 사고 역시 실제 보유량과 장부상 수치를 상시 대조 및 점검하는 시스템, 다중 결재 절차, 이벤트 전용 계정 분리, 조직 간 권한 분산 및 교차 검증 과정 등이 있었다면 충분히 예방할 수 있었을 것입니다.

이번 사고가 거래소의 경각심을 일깨우고, 내부통제를 한층 강화하는 전환점이 되길 기대합니다. 또한 디지털자산 생태계가 고객 신뢰를 기반으로 성장할 수 있도록 내부통제 기준에 대한 합리적인 규제가 하루 속히 마련되길 기대합니다.

IT동아 한만혁 기자 (mh@itdonga.com)