2026년 2월 6일 저녁 7시, 국내 2위 가상자산 거래소 빗썸에서 전례 없는 금융 사고가 터졌다. 이벤트 당첨자 695명에게 2,000원짜리 포인트를 지급하려던 직원이 단위를 '원'이 아닌 '비트코인(BTC)'으로 잘못 입력하면서, 1인당 2,000 BTC(당시 시가 약 1,960억 원)가 전산상 입금된 것이다. 잘못 지급된 비트코인 총량은 무려 62만 개, 시가 약 60조 원에 달했다.
이 숫자가 뜻하는 바는 충격적이다. 빗썸이 2025년 3분기 기준 실제 보유한 비트코인은 약 4만 2,619개에 불과했다. 거래소가 가진 것보다 15배나 많은 비트코인이 키보드 입력 한 번으로 '생성'되어 고객 계좌에 찍혔다. 비트코인의 총 발행량이 2,100만 개로 영원히 고정되어 있다는 대전제가 거래소 내부에서는 무의미한 숫자에 불과했던 셈이다.
이 글에서는 빗썸 사태의 정확한 경위와 피해 규모를 정리하고, 이 사건이 노출시킨 암호화폐 거래소의 구조적 위험성—'장부 거래', '유령 코인', 시세조작 가능성—을 깊이 파헤친다. 2018년 삼성증권 유령주식 사태와의 비교, FTX 파산 교훈까지 함께 다루며, 암호화폐 투자자가 반드시 인식해야 할 위험 요소를 구체적으로 짚어본다.
빗썸 오지급 사고의 전모: 2,000원이 2,000 BTC가 되기까지
사고의 시작은 빗썸이 자체 진행한 '랜덤박스' 이벤트였다. 이 이벤트는 이용자들이 보유 포인트로 랜덤박스를 구매하면 2,000원에서 5만 원 사이의 당첨금을 받는 단순한 프로모션이었다. 그런데 당첨금 지급 과정에서 내부 직원이 지급 단위를 '원(KRW)'이 아닌 'BTC'로 설정하는 치명적 실수를 범했다.
그 결과 이벤트에 참여한 695명 중 랜덤박스를 개봉한 249명에게 1인당 최소 2,000 BTC가 지급됐다. 당시 비트코인 1개 가격이 약 9,800만 원이었으므로, 1인당 최소 1,960억 원에 해당하는 금액이 계좌에 찍힌 것이다. 전체 오지급 규모는 62만 BTC, 시가 환산 약 60조 원 이상이다.
사고 발생 후 진행된 타임라인은 다음과 같다.
| 시간 | 상황 |
|---|---|
| 19:00 | 695명에게 이벤트 리워드 지급 (오지급 발생) |
| 19:20 | 빗썸 내부에서 오지급 인지 (20분 소요) |
| 19:30 | 일부 이용자 대량 매도 시작, 빗썸 내 BTC 가격 8,111만 원까지 폭락 |
| 19:35 | 거래·출금 차단 시작 |
| 19:40 | 거래·출금 차단 완료 (오지급 후 40분) |
| 이후 | 오지급분 99.7%(618,212 BTC) 회수, 미회수 약 125 BTC(약 130억 원) |
오지급 발생부터 거래 차단 완료까지 40분**이 소요됐다. 이 시간 동안 일부 이용자는 오지급된 비트코인을 시장에서 매도해 실제 원화 수익을 실현했다. 빗썸은 외부 지갑으로의 전송은 없었다고 밝혔으나, 매도 후 원화 인출이 이루어진 건에 대해서는 약 130억 원 규모가 아직 미회수 상태다.
빗썸 내 비트코인 가격은 매도 물량이 쏟아지면서 한때 8,111만 원까지 떨어졌다. 같은 시간 경쟁 거래소인 업비트 최저가가 8,900만 원대였으니, 빗썸에서만 약 17% 더 낮은 가격이 형성된 것이다. 빗썸은 "가격이 5분 내 정상 수준으로 회복됐고 연쇄 청산은 발생하지 않았다"고 해명했지만, 비정상 가격이 형성된 시점에 매매가 체결된 투자자들의 피해 여부는 추가 조사가 필요한 상황이다.
** 빗썸이 "99.7% 회수"를 강조하고 있지만, 이는 장부상 숫자를 원래대로 되돌린 것에 가깝다. 실제로 현금화에 성공한 이용자의 자금 회수 문제, 비정상 가격에 거래가 체결된 일반 투자자의 손해 문제 등은 별개의 이슈다. 금융당국이 현장 점검에 착수한 만큼 추가 사실 관계가 밝혀질 수 있다.
'유령 코인'의 실체: 거래소 장부 거래가 드러낸 충격적 진실
이번 사태에서 가장 근본적인 질문은 이것이다. "빗썸이 보유하지도 않은 62만 개의 비트코인을 어떻게 지급할 수 있었는가?"
그 답은 중앙화 거래소(CEX)의 작동 원리에 있다. 업비트, 빗썸, 바이낸스 등 대부분의 거래소는 이용자 간 거래를 처리할 때 블록체인에 실시간으로 기록하지 않는다. 대신 거래소 내부 데이터베이스—쉽게 말해 '엑셀 장부'—에서 숫자만 변경하는 방식을 사용한다. A 계좌에서 1 BTC를 빼고 B 계좌에 1 BTC를 더하는 식이다.
이 방식은 거래 속도와 수수료 면에서 효율적이지만, 치명적인 구조적 취약점을 내포하고 있다.
| 구분 | 블록체인(온체인) 거래 | 거래소 내부(오프체인) 장부 거래 |
|---|---|---|
| 기록 방식 | 분산 원장에 영구 기록 | 거래소 내부 DB에 숫자 변경 |
| 검증 주체 | 전 세계 노드가 합의로 검증 | 거래소 자체 시스템만 검증 |
| 발행량 통제 | 프로토콜에 의해 2,100만 개 고정 | 장부상 숫자는 물리적 제한 없음 |
| 조작 가능성 | 사실상 불가능 | 내부 통제 실패 시 가능 |
| 투명성 | 누구나 열람 가능 | 거래소만 접근 가능 |
빗썸의 실제 비트코인 보유량은 2025년 3분기 기준 약 4만 2,619개였다. 그런데 장부상으로는 62만 개를 '생성'해 고객 계좌에 기록할 수 있었다. 이는 거래소 내부 DB와 실제 블록체인 지갑 잔고 사이에 실시간 교차 검증 체계가 작동하지 않았다는 뜻이다.
블록체인 업계 전문가는 이 상황을 이렇게 지적했다. "장부를 조작해 보유하지 않은 유령 코인이 장부상 존재하거나, 과거에도 유사한 문제가 있었을 가능성까지 함께 거래소 전반을 점검해야 한다." 빗썸 보유량(약 5만 개)을 크게 웃도는 62만 개가 정상 자산처럼 인식되어 실제 매도·매수까지 가능했다는 사실은, 극단적으로 말하면 거래소가 마음만 먹으면 없는 코인을 만들어 시세를 조작할 수 있는 환경이 존재한다는 것을 보여준다.
비트코인은 블록체인 프로토콜에 의해 총 발행량이 2,100만 개로 영원히 고정되어 있다. 하지만 이 '희소성'은 온체인(블록체인 위)**에서만 보장된다. 중앙화 거래소 내부에서는 DB 입력값을 변경하는 것만으로 존재하지 않는 비트코인이 '장부상' 만들어질 수 있다. 이것이 바로 '유령 코인' 문제의 핵심이다.
온라인 커뮤니티에서는 이 사태를 두고 격앙된 반응이 쏟아졌다. "블록체인이라더니 40조가 하늘에서 뚝 떨어지네", "수억 들여 장비 마련해 채굴한 건 뭐가 되냐, 키보드 한 번이면 그냥 만들어지는 거였는데" 등의 반응은 거래소 '장부 거래'의 허점에 대한 대중의 분노를 그대로 보여준다.
일부에서는 "비트코인 자체가 가짜"라는 극단적 해석을 하고 있으나, 이는 블록체인 위의 비트코인과 거래소 장부 위의 숫자**를 혼동한 것이다. 블록체인 네트워크 자체는 이번 사고와 무관하게 정상 작동했다. 문제는 비트코인이 아니라 '거래소의 내부 시스템'에 있다. 다만 대부분의 일반 투자자가 거래소를 통해서만 비트코인을 거래하기 때문에, 거래소의 신뢰성 문제가 곧 비트코인 투자의 위험으로 직결된다는 점은 부인하기 어렵다.
삼성증권 유령주식, FTX 파산: 반복되는 '장부 위의 환상'
이번 빗썸 사태는 2018년 4월 삼성증권에서 벌어진 '유령주식 배당 사건'과 놀라울 정도로 닮아 있다.
당시 삼성증권은 우리사주 배당금을 지급하면서 담당 직원이 주당 '1,000원' 대신 '1,000주'를 입력하는 실수를 범했다. 이로 인해 존재하지 않는 유령 주식 28억 주가 직원 계좌에 입고됐고, 일부 직원들은 이를 알면서도 시장에 매도해 삼성증권 주가가 순간 폭락했다.
| 비교 항목 | 2018년 삼성증권 사태 | 2026년 빗썸 사태 |
|---|---|---|
| 발생 원인 | 배당금 단위 오입력 (1,000원→1,000주) | 이벤트 보상 단위 오입력 (2,000원→2,000BTC) |
| 유령 자산 규모 | 유령주식 28억 주 (시가 약 105조 원) | 유령 비트코인 62만 개 (시가 약 60조 원) |
| 실제 보유량 대비 | 발행주식 총수의 약 37배 | 보유 BTC의 약 15배 |
| 매도 행위 | 직원 16명이 501만 주 매도 | 이용자 일부가 1,788 BTC 상당 매도 |
| 시세 영향 | 삼성증권 주가 한때 12% 폭락 | 빗썸 내 BTC 가격 한때 17% 폭락 |
| 당국 조치 | 금감원 특별점검, 직원 형사고발, 과징금 | 금감원 현장점검 착수, 제재 전망 |
두 사건의 공통 핵심은 명확하다. 전산상 숫자에 불과한 허수가 시스템 검증 없이 실제 자산처럼 거래됐다는 점이다. 삼성증권 사태 후 증권업계는 다중 검증 시스템과 이상거래 탐지 체계를 대폭 강화했다. 그러나 8년이 지난 지금, 암호화폐 거래소에서 사실상 동일한 유형의 사고가 재발한 것이다.
여기에 2022년 FTX 파산 사태의 교훈까지 더할 수 있다. 당시 세계 3위 거래소였던 FTX는 고객 예치금을 자체 투자에 유용하다 유동성 위기를 맞아 파산했다. FTX 역시 내부 장부상으로는 고객 자산이 안전하게 관리되고 있는 것처럼 보였지만, 실제로는 수십억 달러가 빠져나간 상태였다. 피해자는 100만 명이 넘었고, 대표 샘 뱅크먼-프리드는 사기죄로 25년형을 선고받았다.
FTX 파산 이후 글로벌 거래소들은 '지급준비금 증명(Proof of Reserves, PoR)'** 제도를 도입하기 시작했다. 이는 거래소가 실제로 고객 자산만큼의 암호화폐를 보유하고 있는지 외부에서 검증할 수 있게 하는 장치다. 그러나 PoR의 실효성에 대해서는 여전히 논란이 있으며, 이번 빗썸 사태처럼 내부 장부 조작이 가능한 환경에서는 PoR만으로는 충분하지 않다는 지적이 나온다.
시세조작과 투자자 보호: 구조적 위험이 만드는 '닫힌 카지노'
이번 사태가 드러낸 가장 위험한 가능성은 거래소에 의한 시세조작이다. 거래소가 보유하지 않은 코인을 장부상으로 생성하고, 이를 통해 매도·매수를 실행할 수 있다면, 시장 가격을 인위적으로 움직일 수 있는 수단이 존재한다는 뜻이기 때문이다.
실제로 2026년 2월 4일, 가상자산이용자보호법 위반으로 재판에 넘겨진 한 코인업체 대표에게 징역 3년, 벌금 5억 원이 선고됐다. 가상자산법 1호 실형이었다. 시세조종이 불법이라는 법적 기반은 마련됐지만, 거래소 내부에서 장부를 조작해 가격을 움직이는 행위를 사전에 탐지하고 차단할 수 있는 기술적·제도적 장치는 아직 미흡하다.
중앙화 거래소 이용 시 투자자가 직면하는 주요 위험 요소는 다음과 같다.
첫째, 자산의 실질적 소유권 문제. 거래소에 입금한 암호화폐의 프라이빗 키(private key)는 거래소가 관리한다. 이용자가 보는 것은 거래소 DB에 기록된 숫자일 뿐이며, 거래소가 파산하거나 시스템 오류가 발생하면 자산 접근 자체가 불가능해질 수 있다.
둘째, 부분지급준비(Fractional Reserve) 위험. 거래소가 고객 자산의 100%를 실제로 보유하지 않고 일부만 보유한 채 운영할 수 있다. FTX가 이 방식으로 운영하다 파산했고, 이번 빗썸 사태는 최소한 시스템상으로 이러한 운영이 기술적으로 가능하다는 것을 보여줬다.
셋째, 내부자 리스크. 거래소 직원이 의도적 또는 실수로 대규모 자산을 조작할 수 있다. 이번 빗썸 사건에서는 단 한 명의 직원 실수로 60조 원 규모의 혼란이 발생했다. 온라인에서는 "내부 직원이 마음만 먹으면 그렇게 지급 가능하다는 게 문제"라는 반응과 함께, "사고를 가장한 의도적 행위 아니냐"는 의혹까지 제기됐다.
넷째, 규제 사각지대. 전통 금융기관은 예금자보호, 분별관리, 감독당국의 상시 감시 등 다층적 안전장치가 마련되어 있다. 그러나 가상자산 거래소는 상대적으로 규제가 느슨하다. 가상자산이용자보호법이 2024년 시행됐고 2단계 입법이 논의 중이지만, 이번 사태와 같은 '장부 거래' 허점을 직접적으로 규율하는 조항은 아직 부족하다.
빗썸은 이번 사고가 "외부 해킹이나 보안 침해와 무관하며, 고객 자산은 안전하게 관리되고 있다"고 밝혔다. 그러나 해킹보다 더 근본적인 문제는 거래소 스스로가 내부에서 존재하지 않는 자산을 '생성'할 수 있는 시스템 구조** 자체에 있다. 해킹은 외부 공격이지만, 장부 조작은 내부의 문제이기 때문이다.
금융당국 대응과 빗썸의 미래: IPO 좌초 가능성부터 업계 전반 신뢰 위기까지
금융당국은 이번 사태를 '초유의 사고'로 규정하고 즉각 대응에 나섰다. 금융감독원은 빗썸에 점검반을 급파해 현장 조사에 착수했으며, 사고 경위 규명, 실제 발행량 초과분의 유통 여부, 내부통제 시스템의 적정성 등을 집중적으로 조사할 예정이다.
정치권에서도 반응이 나왔다. 여당은 "책임 소재를 명확히 해야 한다"며, "장부 거래와 실제 블록체인 자산 간의 실시간 검증 체계, 다중 확인 절차, 인적·시스템 오류를 동시에 차단할 수 있는 내부통제 시스템 마련이 시급하다"고 지적했다.
빗썸에게 이번 사태가 미칠 타격은 상당하다. 빗썸은 삼성증권을 주관사로 선정하고 올해 상반기 IPO(기업공개)를 목표로 준비해왔다. 그러나 내부통제 시스템의 결함이 이토록 극적으로 노출된 상황에서 상장 심사를 통과하기는 극히 어려워졌다. 특히 올해 예정된 가상자산사업자 갱신 심사에서도 핵심 쟁점이 될 전망이며, 업계에서는 빗썸이 상당한 규모의 과징금 또는 사업 제한 조치를 받을 가능성을 점치고 있다.
이번 사건의 파장은 빗썸 한 곳에 그치지 않는다. 국회에서 디지털자산 기본법(2단계 입법)을 논의하는 시점에 터진 이 사고는 가상자산 업계 전반에 대한 불신을 키울 수 있다. 업계 관계자는 "제도권 편입을 앞둔 시점에 강력한 재발 방지 대책이 마련되지 않으면 입법 과정에서도 부정적 영향을 미칠 것"이라고 우려했다.
투자자 개인이 취할 수 있는 자기 방어 수단이 있다. 거래소에 보관하는 암호화폐를 개인 지갑(하드웨어 월렛 등)**으로 옮기면, 거래소의 장부 문제와 관계없이 블록체인 위에서 직접 자산을 관리할 수 있다. 이른바 '낫 유어 키, 낫 유어 코인(Not your keys, not your coins)'의 원칙이다. 거래소를 이용할 때는 지급준비금 증명(Proof of Reserves) 공시 여부, 외부 회계감사 실시 여부, 금융당국 등록 여부 등을 반드시 확인하는 습관이 필요하다.
이번 사태가 던지는 근본 질문: 당신의 코인은 진짜 존재하는가
빗썸 사태가 암호화폐 시장에 던지는 질문은 단순한 "거래소 관리가 부실하다"를 넘어선다. 이 사건은 "내가 거래소 화면에서 보는 비트코인 잔고는 실제로 존재하는 비트코인인가, 아니면 거래소 장부 위의 숫자에 불과한가"라는 근본적인 물음을 제기한다.
블록체인 기술 자체는 탈중앙화, 투명성, 불변성이라는 강력한 장점을 가지고 있다. 비트코인 네트워크에서는 어느 누구도 2,100만 개 이상을 발행할 수 없고, 모든 거래가 전 세계 노드에 의해 검증된다. 그러나 대부분의 일반 투자자가 실제로 접하는 것은 블록체인이 아니라 중앙화 거래소의 인터페이스다. 그리고 그 인터페이스 뒤에서는 거래소의 내부 DB가 돌아가고 있으며, 이번 사태가 증명했듯 그 DB는 블록체인의 규칙에 구속받지 않는다.
이 간극이 좁혀지지 않는 한, 암호화폐 투자에는 기술 자체의 리스크가 아닌 '중개 기관의 리스크'라는 전통 금융과 동일한 위험이 항상 따라다닌다. 삼성증권 유령주식 사태가 증권업계의 시스템을 바꿨듯, 빗썸 사태가 가상자산 업계의 전환점이 되어야 한다는 목소리가 높다.
투자자는 지금 이 순간 자신의 자산이 어디에, 어떤 형태로 보관되어 있는지 점검해야 한다. 거래소 화면의 숫자를 그대로 신뢰하기보다, 자산의 실질적 소재를 확인하고, 필요하다면 개인 지갑으로 옮기는 조치를 취하는 것이 가장 현실적인 자기 방어 수단이다. 결국 블록체인이 약속하는 '탈중앙화'의 가치는 거래소가 아니라 개인이 프라이빗 키를 직접 관리할 때 비로소 실현된다.