가상자산거래소 내부통제 강화, 대주주 지분 제한이 해결책일까

By이수민

국내 가상자산거래소 빗썸에서 발생한 비트코인 대규모 오지급 사고가 거래소 대주주 지분 제한 논의를 재점화하고 있다. 그러나 일각에서는 대주주 지분 제한이 내부통제 문제 해결에 실질적인 효과를 보지 못할 뿐만 아니라, 부작용을 초래할 수 있다는 지적이 나온다. 거래소 내부통제를 강화하기 위해서는 법적, 시스템적으로 충분한 예방책과 대응 체계를 마련하는 것이 더 효과적이라는 주장이다.

빗썸은 지난 6일 오후 7시께 랜덤박스 이벤트 보상금 지급 과정에서 단위를 ‘원’이 아닌 ‘비트코인(BTC)’으로 잘못 입력했다. 이벤트에는 695명이 참여했으며, 이 중 박스를 개봉한 249명에게 1인당 2000원에서 5만원씩, 총 62만원을 지급하려다 비트코인 62만개를 오지급했다.

빗썸은 사고 발생 20분 만에 이를 인지하고, 오후 7시35분부터 대상 이용자들의 계좌 거래 및 출금을 차단했다. 이어 빗썸은 7일 오전 4시 기준으로 오지급된 비트코인 62만개 중 99.7%인 61만8212개를 회수했으며, 매도된 1786개에 대해서도 약 93%(1661개)를 회수했다고 밝혔다. 사고 원인에 대해서는 금융당국의 현장 점검을 받고 있으며, 추후 발표될 결과에 따라 추가 논의가 있을 예정이라고 설명했다.

가상자산업계에서는 이번 사고가 내부통제 시스템의 부재에서 비롯된 것으로 보고 있다. 대량의 비트코인이 개인의 실수로 나갈 수 있었던 상황을 감안할 때, 내부 절차의 미비가 주요 원인으로 지적된다. 내부 기록(원장)과 실제 자산 간의 차이를 실시간으로 파악하지 못한 점과 이를 검증할 관계자들이 역할을 다하지 못한 점도 문제로 꼽힌다. 한도 관리라는 기본적인 원칙이 지켜지지 않으면서, 결국 시장의 신뢰를 잃었다는 평가가 나오고 있다.

이번 오지급 사고로 전체 가상자산거래소에 대한 신뢰성에 의구심이 제기되고 있다. 국내 상위권 거래소인 빗썸이 이 같은 사고를 겪은 상황에서, 다른 거래소들의 내부통제 수준에 대한 우려가 커지고 있는 것이다. 특히 오입금 문제는 특정 거래소에만 국한된 사안이 아니라는 점에서 의심은 증폭되고 있다. 빗썸을 포함한 주요 가상자산거래소(업비트, 코인원, 코빗, 고팍스)는 장부 거래 시스템을 사용하고 있어 비슷한 문제가 발생할 가능성에 대해 우려를 낳고 있다.

장부 거래란 전산 장부(DB)로 자산을 관리하는 방식을 의미한다. 앞서 빗썸이 실제 보유하지 않은 비트코인을 고객 계좌로 입금할 수 있었던 배경으로 장부 거래 구조가 꼽혔다. 실제 블록체인 상에서 코인이 이동하는 게 아니라 거래소 내부 장부상의 숫자가 우선 바뀌고, 이후 장부에 기록된 내역에 맞춰 실제 자산이 이동하게 된다.

다만 대주주 지분 제한이 거래소 내부통제의 근본적인 해결책이 될 수 없다는 시각이 제기되고 있다. 오입금 사고에도 즉각적으로 대응할 수 있었던 것은 경영진의 빠른 판단과 이를 뒷받침하는 의사결정 구조가 배경에 있다는 평가다. 특히 디지털자산법을 마련해 관련 예방책과 대응 절차를 명문화하면, 모든 거래소가 그 기준에 따라 시스템을 정비하고 대응 역량을 상향평준화할 수 있다는 의견이 제시되고 있다.

또한 빗썸을 제외한 주요 가상자산거래소는 현재 오입금 사고를 충분히 방어할 수 있는 시스템을 갖추고 있어 비슷한 문제가 발생할 가능성은 없다고 일축했다.

가상자산거래소 내부통제 현황 살펴보니

업비트는 2017년부터 보유하지 않는 디지털자산이 지급되는 사고를 원천 차단하기 위해 다양한 안전장치를 구축해 운영하고 있다고 밝혔다. 시스템 설계 단계부터 실제 보유 중인 자산에 한해서만 이벤트 지급이 가능하도록 제어하고 있다는 것이다. 또한 자체적으로 구축한 준비자산 증명 시스템(디프 모니터링)을 통해 블록체인 지갑에 실제 보관된 수량(실 보유량)과 업비트 전산 장부상의 수량(장부합계)을 상시 대조·점검하며 자산의 정합성을 유지하고 있다고 설명했다.

이외에도 이벤트 전용 계정 운영, 지급 수량 사전 확보 원칙, 다단계 내부 승인 및 교차 점검 체계를 수립해, 시스템 오류나 이벤트 지급 금액의 오차 발생을 방지하고 있다. 업비트 관계자는 “현재 내부통제 관련 업무를 적절히 수행하고 있는 것으로 판단하고 있지만, 이번 사안을 계기로 내부 통제 체계 전반에 대한 점검을 다시 한 번 진행하고, 이를 더욱 강화해 나갈 계획”이라고 설명했다.

업비트는 지난 2018년 6월 디지털 자산 및 예치금 실사를 시작한 이후, 회원이 예치한 자산을 온전히 보관하고 있다. 또한 예치 자산 이상의 충분한 수량을 보유하고 있음을 증명하기 위해 정기적으로 외부 회계법인으로부터 자산별 초과분에 대한 실사를 진행해왔다. 이를 통해 고객이 예치한 자산 대비 각 디지털자산과 현금 및 현금성 자산을 100% 이상 보유하고 있음을 확인하고 있다. 지난달에는 성현 회계법인에 의뢰한 ‘디지털자산 및 예치금 실사보고서’를 공개했다.

코빗은 가상자산 지급·출금 과정에서 이중원장(Double-Entry) 구조를 핵심 통제 장치로 적용하고 있다고 밝혔다. 모든 자산 이동은 출금과 입금이 반드시 쌍을 이뤄야만 원장에 기록되도록 설계돼 있다는 것이다. 이벤트 보상 지급의 경우에도, 코빗 내부의 이벤트 지급 전용 계정에서 출금이 발생해야만 고객 계정으로의 입금이 성립되는 구조라고 설명했다. 이 과정에서 원장 간 불일치나 잔고 부족이 발생할 경우 거래는 자동으로 차단된다고 말했다. 단순 매뉴얼이 아닌 시스템 구조 차원에서 오류가 차단되도록 설계돼 있으며, 인적 검증 절차가 결합돼 있다는 점도 강조했다.

이어 가상자산사업자로서 요구되는 내부통제 기준을 충족하기 위해 전담 조직과 책임 체계를 갖춘 내부통제 구조를 운영하고 있다고 밝혔다. 자산 관리, 전산 시스템, 리스크 관리, 준법·감사 기능이 상호 분리된 형태로 구성돼 있으며, 주요 통제 영역은 독립적인 검증 절차를 거치도록 설계돼 있다. 금융사와 업무 특성의 차이는 존재하지만, 자산 보호·전산 안정성·내부통제 원칙 측면에서는 금융권 수준에 준하는 통제 체계를 지향하고 있다고 설명했다.

또한 데이터의 정합성을 보장하기 위해 지속적으로 온체인 상의 보유 잔고 및 신한은행 예치금 잔고와 코빗 데이터베이스(DB) 상의 보유 잔고를 대사하는 잔고 대사 시스템 ‘Exchequer(익스체커)’를 운영 중에 있다. 시간 단위 이상으로 세밀하게 상시 모니터링하고 있으며, 비교한 기록을 보관하고 있는 것이다.

차이가 발생하는 경우에는 자동 시스템이 발동해 담당자가 즉시 확인 후 필요한 조치를 수행하는 등 시스템 통제 절차가 구현된다고 설명했다. 인적 시스템적 분리를 통해 다중 확인 절차가 존재하며, 인적 오류 방지를 위해 사전 정의된 규칙 검증과 권한 관리 시스템 등이 적용되고 있다고 밝혔다.

코빗 관계자는 “정기적인 내부 점검 및 자체 점검 체계를 이미 운영 중이며, 추가적인 사전 점검도 검토하고 있다”며 “당국 점검 시 성실하고 투명하게 임한다는 기본 원칙 하에, 요구 자료 제출 및 설명에 적극 협조할 계획”이라고 말했다. 이어 “이미 외부 감사 및 검증 절차를 통해 재무 및 자산 관련 사항에 대한 검증을 받고 있으며, 당국이 추진 중인 추가적인 외부 검증 제도에 대해서도 검토할 예정”이라고 설명했다.

코인원은 ‘검증·분리·예방’을 3대 내부통제 메커니즘 키워드로 삼고 있다. 인적 오류가 발생하더라도 구조적으로 사고를 막을 수 있도록 시스템이 설계돼 있다고 밝혔다. 온체인 지갑과 코인원 서비스 데이터베이스를 일치시키는 ‘온체인 대사’를 상시 수행한다. 자산 정합성에 이상이 발생할 경우 즉시 거래를 중단하는 모니터링 체계를 통해 유령자산 발생 가능성을 낮추고 있다.

또한 고객 지급용 자산을 별도 지갑에 보관하는 자산 보호 샌드박스를 운영하고 있다. 운영과 부서 간 승인 권한을 분산하고 조직 간 교차 확인 절차를 둬 인적 실수와 권한 남용 위험을 줄인다. 서비스 및 시스템 기획 단계에서부터 위험 요소를 선별하는 설계 중심의 거버넌스도 마련돼 있다. 개발부터 운영까지 이어지는 4단계 격리 환경 점검을 통해 배포 이전 단계에서 결함을 최종 관리한다.

이벤트 지급의 전 과정은 조직 분리와 내부 단계별 승인 체계를 통해 집행되고 있다. 코인원은 고유자산 관리 계정과 보상 전용 자산 관리 계정을 구분해 운용하고 있다. 이벤트 목적 자산을 초과해 지급되는 등의 오용 가능성을 원천 차단하다는 것이다. 아울러 인적 오류와 무관하게 지급 전용 계정의 잔액을 초과하는 자산 이동이 불가능하도록 시스템을 구성했다. 또한 마케팅, 서비스 운영, 재무회계 부서가 상호 검증을 수행하는 ‘다중 부서 6단계 교차 검증’ 등의 안전장치가 있다.

코인원 관계자는 “고객 자산의 이동을 수반하는 모든 절차에 대해 검증 및 승인 체계를 운영하고 있다”며 “지급 과정에서 발생할 수 있는 오류를 사전에 방지하며, 자산이 안전하게 관리될 수 있도록 내부 통제 절차를 적용하고 있다”고 설명했다.

고팍스는 보유하지 않은 코인의 수량을 고객에게 입금하는 방식을 시스템적으로 차단했다고 밝혔다. 초과 물량이 적용되면 시스템이 반응하지 않거나 오류 알림을 제공한다. 지급 배포 자체가 이뤄지지 않도록 설계돼 있다는 설명이다. 또한 장부 거래 특성상 실시간 대조는 어렵지만, 교차 확인과 내부 정책을 통해 이를 해결할 수 있다는 입장이다.

인증 절차와 준법 확인이 지속적으로 이뤄지고 있으며, 실제 작업 단계에서는 업무를 처리하는 직원과 이를 승인하고, 모니터링하는 관리자들이 존재해 교차 점검이 원칙적으로 이뤄진다고 말했다. 이외에도 거래소가 보유한 코인을 담은 콜드월렛(인터넷과 연결되지 않은 지갑)과 고객 자산을 보관하는 콜드월렛이 별도로 존재한다.

가상자산업계 관계자는 “특정 거래소에서 발생한 사고를 바탕으로 대주주 지분 제한을 일괄적으로 적용하려는 상황”이라며 “향후 헌법소원이나 위헌법률심판을 거쳐야 할 가능성이 큰데 이를 버틸 수 있는 거래소는 소수에 불과할 것”이라고 지적했다. 이어 “가상자산거래소의 과점을 막기 위해 시행된 법안이 오히려 부작용을 초래하는 격”이라며 “외국 자본이 한국 시장에 더 이상 들어오지 않을것”이라고 지적했다.

글. 바이라인네트워크

<이수민 기자>Lsm@byline.network

일간 바이라인 구독하기

이수민

안녕하세요, 이수민 기자입니다.
디지털 금융, 핀테크, 블록체인을 담당하고 있습니다.
찾아 주셔서 감사합니다. 좋은 기사로 보답하겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40