8일 금융당국과 업계에 따르면 이번 사고는 랜덤박스 이벤트 에어드롭 과정에서 발생했다. 랜덤박스 이벤트는 2024년부터 운영해온 프로모션인데 이용자가 상자를 열면 최소 2000원에서 최대 5만원 상당의 보상을 받는다.
이번 사고는 지난 6일 오후 7시쯤 빗썸이 고객 확보 목적의 이벤트 참여 이용자(695명)에 대한 보상금 지급 과정에서 1인당 2000원이 아닌 비트코인 2000개(약 1970억원)를 294명에게 잘못 지급하면서 벌어졌다. 빗썸은 사고 발생 후 20분 후 인지한 것으로 알려졌으며, 이후 계좌 동결 조치를 완료하는 사이 비트코인 1786개가 매도되면서 거래소 내 비트코인 가격이 급락했다.
빗썸은 7일 오전 4시 기준 오지급된 비트코인 62만개 중 61만8214개(99.7%)는 거래 전 회수했고 이미 매도된 비트코인 1786개에 대해서는 약 93%를 회수했다고 밝혔다. 투자자 피해도 있었다. 시세가 급락하자 보유한 비트코인을 급히 내다 판 투자자가 발생했고 이들의 손실 금액은 약 10억원 규모라는 게 빗썸 측 추산이다.
회사는 "가격 급락 과정에서 패닉셀에 나선 투자자들의 손실을 산정한 결과 약 10억원 내외로 파악된다"며 "이는 단순 오지급 총액이 아니라 가격 변동 과정에서 발생한 순손실을 기준으로 한 추산치"라고 했다.
문제는 비정상적인 거래나 수치가 포착돼도 이를 차단하는 시스템이 제대로 작동하지 않은 점이다. 빗썸의 비트코인 보유량이 5만개에 미치지 못함에도 62만개의 비트코인이 정상 자산처럼 인식, 실제 294명에게 지급됐다. 이는 보안을 위해 80%를 오프라인으로 보관하는 콜드월렛 시스템의 허점 때문이라는 지적이 나온다. 콜드월렛에서 출금 시 우선 거래소 내부 데이터베이스에 반영, 추후 지갑에서 출금하는 식으로 자산 수량을 맞춘다. 이 과정에서 빗썸이 보유한 자산보다 훨씬 더 많은 물량이 이벤트 보상으로 지급됐다.
이번 사고는 당첨금 단위를 '원'이 아닌 '비트코인'으로 잘못 설정해 입력한 주문 입력 실수다. 게다가 결재 한 번에 자산이 지급되도록 한 구조도 허점을 보였다.
금융당국은 전날 오후 긴급대응반을 꾸렸다. 권대영 금융위 부위원장은 "이번 사태를 가상자산의 취약성, 리스크가 노출된 사례로 엄중하게 바라보고 있다"며 금감원에 이용자 피해 현황 파악을 주문했다. 특히 이번 비트코인 오지급 사태를 계기로 여타 거래소에 대해서도 가상자산 보유·운영 현황과 내부통제 시스템 등을 점검할 계획이다.
빗썸은 이번 오지급 사고와 같은 일이 재발하지 않도록 경영진 주도하에 '전사 위기관리 체계'를 가동할 계획이다. '투자자 피해구제전담반'은 단순 보상을 넘어 피해자들을 전담하는 조직을 신설해 신뢰를 회복하고 신속하고 책임 있는 피해 구제에 나서기로 했다. '임시 이사회 개회 및 보고'를 통해 사고 경과와 조치 현황을 공유하고, 재발 방지 대책을 포함한 후속 조치를 신속히 의결해 이행할 계획이다.
이재원 빗썸 대표는 "이번 사고에 대해 무거운 책임을 통감한다"며 "외형적 성장보다 고객의 신뢰와 안심을 최우선 가치로 삼아 더욱 안전한 거래 환경을 구축해 나가겠다"고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>