서론: 은행이라면 불가능한 일이 가상자산 거래소에서 현실이 되다
은행 금고에 현금이 1억 원밖에 없는데 직원이 실수로 15억 원을 송금하는 일이 가능할까요? 전통 금융 시스템에서는 절대 불가능한 일입니다. 시스템이 자동으로 잔액 부족을 감지하고 거래를 차단하기 때문이죠. 그런데 2026년 2월, 국내 2위 가상자산 거래소 빗썸에서 바로 이런 ‘불가능한 일’이 현실로 발생했습니다. 직원의 입력 오류 하나로 실제 보유량의 14배가 넘는 62만 개의 비트코인이 ‘유령 코인’으로 생성되어 249명의 고객 계좌에 입금된 것입니다. 이 사건은 단순한 해프닝이 아니라, 가상자산 거래소 시스템의 근본적인 결함을 드러낸 중대한 사고입니다. 오늘은 이 사건을 통해 가상자산 시장이 안고 있는 구조적 문제점과 해결 방안을 깊이 있게 살펴보겠습니다.
사건 개요: 35분 동안 벌어진 60조 원 규모의 디지털 재난
2026년 2월 6일 저녁 7시, 빗썸의 ‘랜덤 박스’ 이벤트에 참여한 695명에게 리워드가 지급되었습니다. 그런데 이 중 249명의 계좌에 평균 2,490개의 비트코인이 입금되었고, 일부 사용자는 무려 5만 개의 비트코인을 받기도 했습니다. 당시 비트코인 시세를 감안하면 최대 4조 9천억 원에 달하는 자산이 갑자기 생성된 셈이었죠. 문제는 빗썸이 실제로 보유하고 있던 비트코인이 약 43,000개에 불과했다는 점입니다. 62만 개라는 숫자는 실제 보유량의 무려 14.4배에 달하는 규모였습니다. 빗썸은 20분 만에 이상 징후를 감지하고 오후 7시 35분부터 거래와 출금을 차단했지만, 이미 35분이라는 시간 동안 80여 명의 사용자가 매도 버튼을 눌러 약 178개의 비트코인을 판매한 상태였습니다. 이 짧은 시간 동안 빗썸 내에서만 비트코인 가격이 16% 급락하는 등 시장에 큰 혼란이 발생했습니다.
원인 분석: 오프체인 방식과 무너진 내부 통제 시스템
이 사고의 근본 원인은 가상자산 거래소의 ‘오프체인(Off-chain)’ 거래 방식에 있습니다. 일반적인 블록체인 거래와 달리, 거래소 내부에서 이루어지는 거래는 실제 블록체인에 기록되지 않고 거래소의 내부 장부(데이터베이스)에서만 숫자가 조정됩니다. 이는 거래 속도를 높이고 수수료를 절감하기 위한 구조이지만, 동시에 치명적인 취약점을 안고 있습니다. 바로 내부 통제 시스템이 제대로 작동하지 않으면 실제 보유량을 초과하는 숫자가 장부에 기록될 수 있다는 점입니다. 빗썸 사건에서는 직원이 이벤트 보상 수량을 입력하는 과정에서 오타를 냈고, 시스템은 60조 원에 달하는 이 거대한 숫자를 아무 경고 없이 그대로 승인해 버렸습니다. 실제 보유량보다 많은 코인을 지급하려 할 때 ‘잔액 부족’ 경고가 발생해야 정상이지만, 그러한 안전 장치가 존재하지 않았던 것이죠.
파장과 영향: 2차 피해와 시장 신뢰의 위기
이 사건의 파장은 단순히 ‘잘못 준 돈 회수’ 문제를 넘어섭니다. 첫째, 35분 동안 발생한 급격한 가격 폭락으로 인해 자동 손절매 주문을 걸어둔 일반 투자자들이 낮은 가격에 강제 매도되는 2차 피해가 발생했습니다. 유령 코인을 받지도 않은 사람들이 남의 매도 물량 때문에 손실을 본 것이죠. 둘째, 이 사건은 가상자산 거래소에 대한 시장 신뢰를 근본적으로 흔들었습니다. ‘거래소가 실제로 보유하지도 않은 코인을 거래할 수 있다’는 사실이 확인되면서, 투자자들은 자신의 자산이 안전하게 보관되고 있는지 의문을 품게 되었습니다. 빗썸은 피해 보상으로 사고 시간대 매도로 인한 차액 전액과 10% 추가 보상(총 110%)을 지급하겠다고 발표했지만, 신뢰 회복에는 더 많은 시간과 시스템 개선이 필요할 것입니다.
법적·제도적 문제점: 가상자산의 ‘애매한’ 법적 지위
이 사건에서 특히 주목할 점은 가상자산의 법적 지위가 여전히 불명확하다는 것입니다. 2021년 대법원 판결에 따르면, 비트코인은 ‘형법상 재물’로 인정되지 않아 횡령죄가 성립하기 어렵습니다. 즉, 남의 비트코인을 가져가도 물건을 훔친 것과 같은 형사처벌을 받기 힘들다는 뜻이죠. 이는 2018년 삼성증권 유령주식 사건과 대비됩니다. 삼성증권 사건에서는 직원 8명이 자본시장법 위반과 배임 혐의로 유죄 판결을 받았지만, 빗썸 사건에서 유령 코인을 매도한 사용자들에게 형사처벌을 적용하기는 어려운 구조입니다. 물론 민사상 부당이득 반환 청구는 가능하지만, 상대방이 자금을 이미 사용했거나 파산한 경우 회수는 사실상 불가능해집니다. 이처럼 동일한 구조의 금융 사고라도 자산의 법적 성격에 따라 처벌 가능성이 완전히 달라지는 것이 현재 가상자산 규제의 현실입니다.
과거 사례 비교: 삼성증권부터 FTX까지 되풀이되는 위기
빗썸 사건은 결코 새로운 유형의 사고가 아닙니다. 2018년 삼성증권에서는 직원이 주당 배당금 1,000원을 1,000주로 잘못 입력하는 바람에 28억 주의 유령주식이 생성되었습니다. 당시 112조 원 규모의 주식이 허공에서 생성되었고, 이로 인해 삼성증권 주가는 11.7% 급락하며 거래가 7번이나 중단되는 사태가 발생했습니다. 해외에서는 2021년 탈중앙화 금융(DeFi) 프로토콜 컴파운드에서 코드 오류로 2천억 원 상당의 토큰이 잘못 분배된 사례가 있었습니다. 더 심각한 것은 2022년 FTX 파산 사태로, 13조 원 이상의 고객 자산이 증발한 채 아직까지 완전한 회수가 이루어지지 않고 있습니다. 이러한 사례들은 금융 시스템에서 ‘인간의 실수’가 얼마나 치명적인 결과를 초래할 수 있는지, 그리고 안전장치 없는 시스템이 얼마나 위험한지를 보여줍니다.
해결 방안: 시스템 개선과 규제 강화의 필요성
이번 사건의 진정한 교훈은 ‘인간의 도덕성을 탓하기 전에 시스템을 고쳐야 한다’는 점입니다. 전문가들은 다음과 같은 개선 방안을 제시하고 있습니다: 1. **실시간 총량 관리 시스템**: 거래 시점마다 보유 총량을 자동 점검해 초과 거래를 차단하는 시스템 구축 2. **준비금 증명(Proof of Reserves) 의무화**: 거래소가 실제 보유 코인과 고객 예치 총량이 일치함을 암호학적으로 증명하는 시스템 3. **외부 견제 구조 도입**: 전통 금융시장처럼 증권사, 거래소, 결제원이 역할을 분리해 상호 감시하는 구조 4. **무과실 책임 규정**: 전산 사고 시 고의·과실 유무와 관계없이 사업자의 책임을 묻는 규정 도입 5. **실시간 외부 감시**: 분기별 감사에서 실시간 모니터링으로 전환 금융위원회도 이미 모든 거래소를 대상으로 보유량 초과 지급 사례와 내부 통제 시스템 취약성을 점검하기로 했으며, 디지털 자산 기본법 논의와 연계해 규제 강화를 검토 중입니다.
결론: 가상자산 시장의 성숙을 위한 필수 과제
빗썸 유령 코인 사건은 가상자산 시장이 ‘어른의 시장’으로 성장하기 위해 반드시 넘어야 할 고리입니다. 35분 동안 80명의 사용자가 2,440억 원 상당의 비트코인을 매도한 것을 단순히 ‘도덕적 문제’로 치부하기 쉽지만, 진짜 문제는 인간의 실수를 막아야 할 시스템이 존재하지 않았다는 점입니다. 가상자산 시장이 수천조 원 규모로 성장했음에도 여전히 직원의 키보드 입력 오류 하나에 무너질 수 있는 취약한 구조 위에 서 있다는 사실은 심각하게 받아들여져야 합니다. 이제 우리에게 필요한 것은 더 높은 도덕성이 아니라 더 견고한 시스템입니다. 투자자 보호를 위한 실질적인 안전장치, 투명한 감시 구조, 그리고 법적 보호 체계의 정비가 시급합니다. 빗썸 사건이 가상자산 시장 전체의 근본적인 개혁을 촉발하는 계기가 되기를 바랍니다.
