코인거래소 장부 대조 시차 지적 “실시간 검증돼야 안정성 확보” 다중결재·별도계정 부재도 문제 ‘2단계 입법’에 규제 강화 시사 이찬진 금융감독원장이 11일 서울 여의도 국회에서 열린 정무위원회의 빗썸 관련 긴급현안질의에 출석해 최근 거액의 비트코인 오지급 사태에 대한 의원들의 질의에 답하고 있다. 오승현 기자 “5분도 짧지 않고 굉장히 깁니다.” 이찬진 금융감독원장은 지난 11일 국회 정무위원회 빗썸 사태 현안질의에서 이렇게 지적하며 “가상화폐거래소의 보유 잔고와 장부 대조 시스템이 실시간으로 연동돼야 한다”고 강조했다. 이날 문제가 된 빗썸은 하루 1회, 업계 1위인 업비트는 5분 단위로 상시 대조하는 시스템을 운영하고 있지만 이마저도 길다고 본 것이다. 실제 빗썸은 지난 6일 발생한 비트코인 오지급 사고를 인지하기까지 약 20분이 걸렸다. 보유하지 않은 유령 코인이 62만 개나 찍혔는데 20분 동안 수량 비교가 이뤄지지 않은 것이다. 이 사이 오지급된 비트코인 1788개는 이미 거래가 완료된 상태였다. 비트코인 1개당 1억 원 안팎의 시세를 고려하면 약 2000억 원 규모다. 웬만한 중견기업의 연간 영업이익에 해당하는 금액이다. ‘유령 코인’ 지급 배경은 장부 거래 오지급 자체도 문제지만 이번 사고의 핵심은 빗썸이 실제 보유량의 14배에 달하는 62만 개의 비트코인을 지급할 수 있었다는 점이다. 지난해 3분기 보고서 기준 빗썸이 보유한 비트코인은 4만 2800여 개에 불과하다. 존재하지 않는 코인이 장부상으로 생성·지급된 셈이다. 이를 가능하게 한 구조가 ‘장부 거래’다. 장부 거래는 고객 자산을 전산 장부(DB)에 기록해 관리하는 방식으로 대량 거래를 신속히 처리하기 위해 대부분의 중앙화 금융기관이 활용하고 있다. 고객이 예금을 하거나 주식을 매수할 때 실물 자산의 이동보다 전산상 잔고가 먼저 기록되고 이를 기준으로 실제 거래가 정산된다. 가상화폐거래소도 마찬가지다. 코인 매매가 발생할 때마다 블록체인이 즉시 기록하는 것이 아니라 내부상 잔고를 우선 변경하는 방식으로 운영된다. 이번에 빗썸 장부에 찍힌 62만 개 역시 블록체인상에서 실제 발행된 코인이 아니라 거래소 내부 DB에 반영된 수치였다. 장부 거래 핵심은 실제 자산과 연동 장부 거래 자체는 문제가 아니다. 관건은 장부상 수량과 실제 보유 자산이 일치하는지 여부다. 즉 ‘정합성’이 핵심이다. 전통 금융권은 영업 종료 후 결제·청산 절차를 통해 장부와 실물을 대조한다. 은행은 하루 영업이 끝나면 시스템을 마감하고 수량을 확인하는 ‘시세 맞추기’ 시간을 갖는다. 증권사는 매매와 결제 사이에 청산 주기(T+2)를 두어 리스크를 관리한다. 반면 가상화폐 시장은 24시간 중단없이 운영된다. 영업 종료나 거래 마감 개념이 없기 때문에 장부와 실자산을 맞추는 작업이 구조적으로 더 까다롭다. 은행처럼 셔터를 내리고 돈을 셀 수도 없고, 증권사처럼 결제 주기로 시간을 벌 수도 없는 것이다. 업계의 한 관계자는 “결국 더 촘촘하고 상시적인 정합성 관리 체계가 요구되는 시장 구조”라며 “빗썸의 사고는 이 정합성 확보에 실패하면서 파장이 더 커졌다”고 설명했다. 클릭 한 번에 60조 지급…내부 통제도 도마 정합성 확보 실패와 함께 내부 통제 부실도 사고를 키운 원인으로 지목된다. 전통 금융권에서는 한국거래소, 예탁결제원, 은행 등 여러 기관이 결제 과정에 참여해 오류를 걸러낼 수 있다. 반면 가상화폐거래소는 입출금부터 장부 관리, 결제까지 모든 과정이 단일 시스템 내에서 처리된다. 외부 검증 장치가 없는 ‘폐쇄형 장부’ 구조가 리스크로 지적되는 이유다. 이번 빗썸 오지급 사고는 대리급 직원 1명이 이벤트 리워드를 지급하는 과정에서 발생한 것으로 알려졌다. 상금자 결제는 거치는 다중 결재 체계도 작동하지 않았다. 이벤트용 계정을 별도로 두어 발행 수량을 제한하는 장치도 없었다. 정상적인 내부 통제 체계라면 실제 코인 없이 장부만 조작하려는 시도는 1차적으로 권한·경로 통제에서 걸러지고, 설령 우회 시도가 있더라도 총량 대사 지표에서 이상치로 감지되는 다층적 방어 구조가 작동해야 한다. 이에 빗썸뿐 아니라 가상화폐업계는 부족한 내부 통제 시스템을 보완하기 위해 자체 태스크포스(TF)를 출범했다. 가상화폐거래소 공동협의체(DAXA)는 11일 금융당국과 내부통제 고도화 TF를 가동한다고 밝혔다. 금융감독원, 금융위원회, 금융정보분석원 등이 참여하는 긴급 대응 체계다. 이번 사고는 빗썸에 대한 제재를 넘어 국회에서 논의 중인 디지털자산기본법(2단계법)에도 영향을 미칠 전망이다. 이찬진 금감원장은 “현행 가상자산이용자보호법(1단계법)이 매우 허술하게 돼 있는 부분에 스스로도 놀라고 있다”며 “2단계 입법에서 기존 금융 규제 체제인 전자금융거래법이나 금융회사 지배구조법, 금융소비자보호법 등에 촘촘히 돼 있는 부분을 전면적으로 반영해야 된다”고 강조했다.

글자 크기 설정
- 가
  
  보통
- 가
  
  크게
- 가
  
  아주 크게
기사공유
- 페이스북
- 엑스
- 카카오톡
- 이메일
- 주소복사

“5분도 길어”…금감원장이 질타한 코인거래소 ‘장부 거래’ 문제는

코인거래소 장부 대조 시차 지적
“실시간 검증돼야 안정성 확보”
다중결재·별도계정 부재도 문제
‘2단계 입법’에 규제 강화 시사

박민주 기자

입력 2026-02-17 13:00

이찬진 금융감독원장이 11일 서울 여의도 국회에서 열린 정무위원회의 빗썸 관련 긴급현안질의에 출석해 최근 거액의 비트코인 오지급 사태에 대한 의원들의 질의에 답하고 있다. 오승현 기자

“5분도 짧지 않고 굉장히 깁니다.”

이찬진 금융감독원장은 지난 11일 국회 정무위원회 빗썸 사태 현안질의에서 이렇게 지적하며 “가상화폐거래소의 보유 잔고와 장부 대조 시스템이 실시간으로 연동돼야 한다”고 강조했다. 이날 문제가 된 빗썸은 하루 1회, 업계 1위인 업비트는 5분 단위로 상시 대조하는 시스템을 운영하고 있지만 이마저도 길다고 본 것이다.

실제 빗썸은 지난 6일 발생한 비트코인 오지급 사고를 인지하기까지 약 20분이 걸렸다. 보유하지 않은 유령 코인이 62만 개나 찍혔는데 20분 동안 수량 비교가 이뤄지지 않은 것이다. 이 사이 오지급된 비트코인 1788개는 이미 거래가 완료된 상태였다. 비트코인 1개당 1억 원 안팎의 시세를 고려하면 약 2000억 원 규모다. 웬만한 중견기업의 연간 영업이익에 해당하는 금액이다.

‘유령 코인’ 지급 배경은 장부 거래

오지급 자체도 문제지만 이번 사고의 핵심은 빗썸이 실제 보유량의 14배에 달하는 62만 개의 비트코인을 지급할 수 있었다는 점이다. 지난해 3분기 보고서 기준 빗썸이 보유한 비트코인은 4만 2800여 개에 불과하다. 존재하지 않는 코인이 장부상으로 생성·지급된 셈이다.

이를 가능하게 한 구조가 ‘장부 거래’다. 장부 거래는 고객 자산을 전산 장부(DB)에 기록해 관리하는 방식으로 대량 거래를 신속히 처리하기 위해 대부분의 중앙화 금융기관이 활용하고 있다. 고객이 예금을 하거나 주식을 매수할 때 실물 자산의 이동보다 전산상 잔고가 먼저 기록되고 이를 기준으로 실제 거래가 정산된다.

가상화폐거래소도 마찬가지다. 코인 매매가 발생할 때마다 블록체인이 즉시 기록하는 것이 아니라 내부상 잔고를 우선 변경하는 방식으로 운영된다. 이번에 빗썸 장부에 찍힌 62만 개 역시 블록체인상에서 실제 발행된 코인이 아니라 거래소 내부 DB에 반영된 수치였다.

장부 거래 핵심은 실제 자산과 연동

장부 거래 자체는 문제가 아니다. 관건은 장부상 수량과 실제 보유 자산이 일치하는지 여부다. 즉 ‘정합성’이 핵심이다. 전통 금융권은 영업 종료 후 결제·청산 절차를 통해 장부와 실물을 대조한다. 은행은 하루 영업이 끝나면 시스템을 마감하고 수량을 확인하는 ‘시세 맞추기’ 시간을 갖는다. 증권사는 매매와 결제 사이에 청산 주기(T+2)를 두어 리스크를 관리한다.

반면 가상화폐 시장은 24시간 중단없이 운영된다. 영업 종료나 거래 마감 개념이 없기 때문에 장부와 실자산을 맞추는 작업이 구조적으로 더 까다롭다. 은행처럼 셔터를 내리고 돈을 셀 수도 없고, 증권사처럼 결제 주기로 시간을 벌 수도 없는 것이다.

업계의 한 관계자는 “결국 더 촘촘하고 상시적인 정합성 관리 체계가 요구되는 시장 구조”라며 “빗썸의 사고는 이 정합성 확보에 실패하면서 파장이 더 커졌다”고 설명했다.

클릭 한 번에 60조 지급…내부 통제도 도마

정합성 확보 실패와 함께 내부 통제 부실도 사고를 키운 원인으로 지목된다. 전통 금융권에서는 한국거래소, 예탁결제원, 은행 등 여러 기관이 결제 과정에 참여해 오류를 걸러낼 수 있다. 반면 가상화폐거래소는 입출금부터 장부 관리, 결제까지 모든 과정이 단일 시스템 내에서 처리된다. 외부 검증 장치가 없는 ‘폐쇄형 장부’ 구조가 리스크로 지적되는 이유다.

이번 빗썸 오지급 사고는 대리급 직원 1명이 이벤트 리워드를 지급하는 과정에서 발생한 것으로 알려졌다. 상금자 결제는 거치는 다중 결재 체계도 작동하지 않았다. 이벤트용 계정을 별도로 두어 발행 수량을 제한하는 장치도 없었다. 정상적인 내부 통제 체계라면 실제 코인 없이 장부만 조작하려는 시도는 1차적으로 권한·경로 통제에서 걸러지고, 설령 우회 시도가 있더라도 총량 대사 지표에서 이상치로 감지되는 다층적 방어 구조가 작동해야 한다.

이에 빗썸뿐 아니라 가상화폐업계는 부족한 내부 통제 시스템을 보완하기 위해 자체 태스크포스(TF)를 출범했다. 가상화폐거래소 공동협의체(DAXA)는 11일 금융당국과 내부통제 고도화 TF를 가동한다고 밝혔다. 금융감독원, 금융위원회, 금융정보분석원 등이 참여하는 긴급 대응 체계다.

이번 사고는 빗썸에 대한 제재를 넘어 국회에서 논의 중인 디지털자산기본법(2단계법)에도 영향을 미칠 전망이다. 이찬진 금감원장은 “현행 가상자산이용자보호법(1단계법)이 매우 허술하게 돼 있는 부분에 스스로도 놀라고 있다”며 “2단계 입법에서 기존 금융 규제 체제인 전자금융거래법이나 금융회사 지배구조법, 금융소비자보호법 등에 촘촘히 돼 있는 부분을 전면적으로 반영해야 된다”고 강조했다.

박민주 기자

금융부