최근 국내 가상화폐 거래소 빗썸에서 발생한 40조원 규모의 비트코인 오지급 사고가 단순한 시스템 결함을 넘어 국내 가상화폐 시장의 존립을 흔드는 초대형 악재로 부상했다. 이번 사태는 실제 보유량을 초과하는 가상자산이 유통됐다는 점에서 시장의 신뢰를 근본적으로 무너뜨린 '가짜 비트코인 사건'으로 기록될 전망이다. 특히 이번 사고는 내부통제 시스템 부실에 기인한 측면이 많다는 점에서 규제와 법적 조치 강화 목소리에도 힘이 실릴 전망이다. 앞서 해외에선 내부통제 부실로 사회적 파장을 일으킨 기업에 사실상 '사형선고'에 가까운 무거운 처벌이 내려졌던 것으로 나타났다.
美 나이트 캐피탈과 닮은 내부통제 실패…빗썸에도 미국식 '무관용 원칙' 적용될까 관심
관련업계 등에 따르면 빗썸은 지난 6일 이벤트 당첨자들에게 지급하는 보상을 '원'이 아닌 'BTC'로 입력해 62만개(약 62조원 규모)의 비트코인을 오지급했다. 빗썸이 보유한 비트코인(약 4만6000개)의 12배가 넘는 규모다. 빗썸은 사고 발생 약 20분 뒤 출금을 차단해 오지급분의 99.7%를 회수했으나 이미 타 거래소를 통해 매도된 125개(약 125억원)는 끝내 회수하지 못했다. 보유하지도 않은 비트코인이 고객들에게 지급되는 비상식적인 일이 가능했던 것은 특유의 '장부 거래' 구조 때문이었다. 그동안 빗썸은 블록체인에 바로바로 거래 내역을 기록하지 않고 우선적으로 내부 장부(DB) 숫자를 바꾸는 식으로 매매 처리를 했다.
금융당국은 이번 사고를 심각하게 판단하고 빗썸에 대한 현장점검을 '검사'로 격상했다. 조사 범위 역시 업계 전체로 확대하며 업비트, 코인원 등 주요 거래소에 대한 현장점검까지 착수했다. 특히 이재원 빗썸 대표가 이날 국회 정문위원회에 열린 긴급 현안질의에서 과거에도 유사한 오지급 사고가 두 차례 더 있었다고 시인하면서 빗썸의 고질적인 관리 부실에 대한 비판은 더욱 거세지고 있다. 사고의 근본적 원인이 안일한 내부통제 시스템에 있다는 공감대가 형성되고 있다.
사고의 심각성에 대한 공감대가 형성되면서 여론 안팎에선 내부통제 부실에 대한 처벌 수위 상향을 촉구하는 목소리가 고조되고 있다. 이미 해외에선 내부통제 부실로 사회적 파장을 일으킨 기업에 강력한 처벌이 뒤따랐던 사례가 여럿 존재한다는 이유다. 조연행 금융소비자연맹 회장은 "보유하지도 않은 자산이 장부상 숫자로만 생성돼 유통된 것은 명백한 시장 기만이며 금융 질서를 파괴하는 행위다"며 "미국의 징벌적 손해배상과 무관용 원칙을 적용해 우리 당국도 강력한 처벌을 내려야만 제2의 가짜 코인 사태를 방지할 수 있다"고 강조했다.
실제로 이미 미국에선 시스템 오류로 혼란을 야기한 기업들에 대해 강력한 처벌이 뒤따랐던 사례가 여럿 존재한다. 2012년 미국의 대형 증권사였던 나이트캐피탈그룹(Knight Capital Group)의 시스템 오류 사고가 대표적이다. 미국 증권거래위원회(SEC)에 따르면 나이트캐피탈그룹은 2012년 8월 뉴욕증권거래소(NYSE)의 새로운 거래 프로그램에 대응하기 위해 자사의 주문 시스템 'SMARS'의 업데이트를 단행했다. 그러나 관리자는 총 8대의 메인 서버 중 1대의 서버에 신규 코드를 반영하지 않는 치명적인 실수를 저질렀다.
장이 열리자 업데이트가 누락된 1대의 서버는 중앙 시스템의 신규 명령을 이해하지 못한 채 시스템에 남아있던 10년 전 구형 코드인 '파워 페그(Power Peg)'를 실행했다. 구형 코드는 주문 체결 여부를 확인하는 최신 데이터 경로를 인식하지 못했고 모든 주문이 '미체결' 상태라고 오판했다. 결국 시스템은 부족한 물량을 채우기 위해 초당 수십 건의 하위 주문을 무차별적으로 투하하는 이른바 '데드 루프(Dead Loop)' 현상을 일으켰다. 그 결과, 단 45분 만에 약 400만건의 잘못된 거래가 체결됐다.
조사 결과, 사고의 근본적 원인은 '인재(人災)'라는 사실이 밝혀졌다. 당일 개장 전 시스템은 "파워 페그 비활성화"라는 오류 메시지를 무려 97건이나 발송하며 사전에 위험 신호를 보냈으나 기술팀 직원들은 단순한 안내 문구로 치부해 검토하지 않았다. 또한 원인 파악이 되지 않자 정상 작동 중이던 나머지 7대의 서버에서 신규 코드를 삭제하는 악수를 두기도 했다. 이로 인해 모든 서버에서 구형 코드가 활성화되는 최악의 상황이 벌어졌다. 회사 역시 이상 주문을 실시간으로 차단하는 '킬 스위치(Kill Switch)'를 마련해 놓지 않았다
당시 SEC는 "자본 시장의 게이트키퍼 역할을 해야 할 증권사가 최소한의 리스크 관리 절차도 갖추지 못했다"며 1200만달러의 벌금을 부과했다. 지금의 가치로 따지면(물가상승률 반영) 약 173억원에 달하는 금액이다. 또 사고 여파로 나이트캐피탈그룹의 주가는 이틀 만에 무려 75% 가량 폭락했다. 결국 나이트캐피탈그룹은 투자 손실액과 벌금 등을 감당하지 못했고 얼마 지나지 않아 겟코(Getco)그룹에 헐값으로 매각됐다.
내부통제 부실에 1조원 벌금 때린 美 SEC…빗썸의 내부통제 실패가 가볍지 않은 이유
미국 금융당국이 금융기관의 내부통제 실패에 엄격한 잣대를 들이댔던 사례는 이뿐만이 아니다. SEC를 포함한 미·영 금융당국에 따르면 지난 2013년 재무결과를 왜곡해 공시하고 담당직원과 감사부서, 경영진까지 해당 사실을 은폐한 JP모건에 총 9억2000만 달러(한화 약 1조3300억원)라는 천문학적인 수준의 벌금이 부과됐다. 당시 사건의 발단은 영국 런던에 소재한 최고투자책임자(CIO) 산하 부서가 운용하던 합성 신용 포트폴리오(SCP)였다. 영국 런던 지점의 트레이더들은 리스크 분산이라는 명목 하에 포트폴리오 규모를 비정상적으로 키웠으나 2012년 1분기부터 시장 상황이 악화돼 대규모 손실을 피할 수 없게 됐다.
트레이더들은 손실을 감추기 위해 시장의 객관적 지표인 '중립값(Mid-market price)'을 의도적으로 무시했다. 일반적으로 금융기관은 매수와 매도 호가의 중립값을 자산 평가 기준으로 삼지만 이들은 자신들에게 유리하게 설정된 희망 가격을 장부에 적어 넣었다. 특히 1분기 마지막 거래일에는 원칙상 런던 시장 종가를 반영해야 함에도 불구하고 당시 주가가 높았던 뉴욕 시장 종가를 적용하는 등 편법을 동원했다. 이후 가격이 일시적으로 유리하게 형성된 순간을 포착해 손실을 1억3800만달러로 축소 보고했다. 실제 시장가 기준 손실액 7억1800만달러의 5분의 1 수준이었다.
문제는 이러한 일을 저지르는 동안 어떠한 제재나 감시도 받지 않았다는 점이다. 심지어 감시·견제 업무를 담당하는 내부 가치평가 부서(CIO-VCG)는 사실상 트레이더들의 손실 은폐를 방치하다시피 했다. 경영진 또한 JP모건 경영진 또한 내부 조사를 통해 가치평가 체계의 심각한 결함을 파악했음에도 이사회 산하 감사위원회에 충분히 보고하지 않았다. JP모건은 나중에 사태의 심각성이 커진 이후에야 뒤늦게 재무제표에 '중대한 결함(Material Weakness)'이 있었음을 시인하고 공시 내용을 전면 수정했다. 이후 SEC는 JP모건이 효과적인 내부 회계 통제 및 공시 절차를 유지하지 못함으로써 자본시장법령을 중대하게 위반했다고 판단하고 사상 최대 규모의 과징금을 부과했다.
2020년 발생한 증권사 인터랙티브브로커스의 시스템 오류 사건 역시 금융사의 관리 부실 행태에 엄중한 책임을 물었던 사건으로 꼽힌다. 미국 상품선물거래위원회(CFTC)에 따르면 인터랙티브 브로커스의 거래 시스템은 유가가 0달러 이하로 내려갈 수 있다는 가정을 전혀 하지 않은 채 설계돼 있었다. 2020년 4월 국제 유가가 사상 초유의 마이너스 가격을 기록하자 시스템은 마비됐고 고객들의 강제 청산 주문이 제때 처리되지 못하면서 투자자들은 수천억원에 달하는 추가 손실을 입게 됐다. CFTC는 인터랙티브브로커스가 '성실 감독 의무(Supervisory Failures)'를 위반했다고 보고 고객들에게 입힌 피해액(8230만달러, 한화 약 1190억) 전액 배상과 시스템 관리 부실 과징금 1210만달러(한화 약 174억원)를 부과했다.
전문가들은 가상화폐 거래소는 은행, 증권사 등 전통적 금융기관으로 분류되지 않지만 이미 실질적인 금융사의 역할을 수행하고 있고, 국내 금융사의 내부통제 부실에 대한 처벌 수위가 낮다는 지적이 끊이지 않았던 만큼 빗썸에 대한 엄중한 처벌로 본보기를 보일 필요가 있다고 입을 모았다. 김계수 세명대 경영학과 교수는 "가짜 비트코인 유통은 전통 금융권으로 치면 존재하지도 않는 가짜 주식을 발행해 유통한 무차입 공매나 장부상 허위 예치와 다를 바 없는 중대 사안이다"며 "이는 자본시장 근간인 신뢰를 파괴한다는 점에서 나이트캐피탈이나 JP모건의 사례와 유사하기 때문에 처벌 수위 또한 비슷해야 할 것이다"고 지적했다.
최승재 법무법인 클라쓰 변호사는 "이번 빗썸 사태는 가상자산 시장의 질서를 바로잡기 위한 디지털자산법 2단계 입법이 왜 하루빨리 마무리돼야 하는지를 적나라하게 보여주는 대표적인 사례다"며 "투자자들이 힘들게 모은 자산을 다루는 기업에서 발생하는 내부통제 부실 사고는 미국 등 선진국 수준으로 처벌 수위를 강화할 필요가 있다"고 주장했다.
일련의 사안과 관련, 빗썸 관계자는 "이번 사태와 관련해 단순한 시스템 보강을 넘어 내부통제 체계를 다시 살피고 재발 방지에 총력을 기울이겠다"며 "현재 진행 중인 금융감독원의 조사에 전적으로 협조해 내려지는 법적 처분과 행정 제재를 겸허히 수용할 예정이다"고 말했다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
