FIU 현장검사서 특금법 위반 665만 건 적발…미신고 사업자 지원 등 감시망 붕괴
가상자산 거래소 빗썸에서 발생한 62조 원 규모의 오지급 사태와 665만 건에 달하는 특금법 위반 제재는 단순한 전산 오류나 실무자의 일탈로 보기 어렵다. 자산의 보관부터 거래, 상장 심사까지 독점하는 구조 속에서 내부통제의 붕괴는 예고된 참사였다. <알파경제>는 빗썸에서 벌어진 일련의 사건사고를 통해 내부통제 실패의 구조적 원인을 진단하고 제도적 해법을 모색하는 4부작 기획기사를 준비했다. [편집자주]
① 제1회: 사고 연대기 — "62조 오지급부터 영업정지까지, 멈추지 않는 사고의 기록"
② 제2회: 지배구조의 민낯 — "보이지 않는 주인, 통제받지 않는 의사결정 권력"
③ 제3회: 독점적 사업모델의 함정 — "심판이 선수로 뛰는 시장, 설계된 이해상충"
④ 제4회: 제도와 처방 — "빗썸 문제는 현상이 아닌 결과다 — 제도는 무엇을 놓쳤나"
 |
| 서울 빗썸 본사. (사진=연합뉴스) |
2026년 2월 빗썸에서 발생한 62조원 규모의 비트코인 오지급 사태는 가상자산 시장의 취약한 내부통제 실태를 적나라하게 드러냈다.
불과 한 달 뒤 이어진 금융정보분석원(FIU)의 역대급 중징계와 누적된 해킹·상장 비리 의혹은, 단순한 관리 소홀을 넘어 통제 기능 자체가 마비된 구조적 결함임을 확인시킨다.
◇ 62조원으로 둔갑한 62만원…'장부 거래'가 터뜨린 뱅크런 뇌관
사고의 시작은 단순했다.
2026년 2월 빗썸은 랜덤박스 이벤트 당첨자 249명에게 총 62만원을 지급하는 과정에서, 담당자가 지급 단위를 '원' 대신 'BTC'로 잘못 입력했다.
그 결과 1인당 평균 2490개, 총 62만개(약 62조원)의 비트코인이 고객 계좌에 잘못 반영됐다.
당시 빗썸이 실제 보유한 비트코인은 약 4만6000개에 불과했으나, 실물 자산의 13배가 넘는 숫자가 복수 승인 절차나 경고 없이 대리급 직원 1명에 의해 지급됐다.
이 사고의 본질은 단순한 오타가 아니다. 빗썸을 비롯한 상당수 거래소에서 이용자가 화면에서 보는 잔고는 블록체인 실물과 일치하지 않는 경우가 많다.
거래의 상당 부분이 블록체인이 아닌 거래소 내부 DB, 즉 장부(Off-chain)로 정산되는 구조다. 이 폐쇄 구조에서는 실재하지 않는 자산이 존재하는 것처럼 보일 수 있고, 잘못 입력된 숫자 하나가 시장 전체를 공포로 몰아넣을 수 있다.
실제로 오지급 직후 비트코인 가격은 10% 넘게 급락했고, 스탑로스를 설정한 투자자들의 자산이 저가에 자동 매도되는 2차 피해가 발생했다.
회사 측은 35분 만에 거래를 차단하고 99.7%를 회수했다고 밝혔지만, 장부상 숫자만으로도 대규모 연쇄 이탈, 즉 뱅크런의 뇌관이 될 수 있다는 사실이 확인됐다.
윤주호 엄브렐라리서치 대표이사는 "단순 수기 입력 오류가 다중 승인 절차 없이 수십 조 원의 자산 이동으로 직결된 것은 내부통제의 기본인 교차 검증 시스템이 전무했음을 의미한다"며 "온체인 자산과 연동되지 않은 폐쇄적인 장부 거래 설계로 인해 선량한 투자자들이 강제 매도 피해를 떠안은 것은 시스템 리스크가 현실화된 치명적 결과"라고 지적했다.
 |
| 서울 강남구 빗썸 라운지. (사진=연합뉴스) |
◇ 665만건의 위반…붕괴된 자금세탁방지망
3월 FIU는 빗썸에 6개월 영업 일부 정지와 368억원 규모의 과태료를 부과했다.
지난해 현장검사에서 적발된 특금법 위반 건수만 665만건에 달한다.
미신고 해외 가상자산사업자 18개사와의 거래금지 의무 위반이 4만5772건, 고객확인 및 거래제한 의무 위반이 약 659만건, 자료보존 의무 위반이 1만6000건이다.
당국이 수차례 거래 중단을 요청했음에도 빗썸은 이를 무시하고 4만건 이상의 미신고 사업자 거래를 강행했다.
빗썸은 즉각 행정소송을 제기했고, 서울행정법원은 영업정지 효력을 일시 정지시켰다. 부과된 제재마저 현재 사실상 집행이 중단된 상태다.
 |
| 이재원 빗썸 대표이사가 11일 국회 정무위원회에서 열린 국내 가상자산거래소 빗썸에서 발생한 거액의 비트코인 오지급 사태 관련 긴급 현안 질의에서 여야 의원들의 질의에 답하고 있다. (사진=연합뉴스) |
◇ 반복된 해킹과 상장 비리…수익 논리에 밀린 신뢰
보안 사고도 끊이지 않았다.
2017년 직원 PC 해킹으로 개인정보 3만6000명이 유출된 데 이어, 2018년 약190억 원 규모의 핫월렛 암호화폐 유출, 2019년 내부자 소행에 의한 약 220억원 탈취까지 이어졌다.
유엔 대북제재위 보고서에 따르면 빗썸이 북한 해커 공격으로 최소 네 차례, 총 6500만달러 피해를 입었다.
반복의 배경에는 핫월렛 관리 허점, 키 관리 권한 집중, 내부 접근 통제 미비라는 구조적 결함이 있었다. 외부 공격은 취약점을 드러낸 계기였을 뿐, 진짜 문제는 방어 불가능한 구조를 스스로 장기간 방치한 데 있었다.
상장 심사에서도 거래소 지주사 핵심 인사가 코인 상장 대가로 금품을 수수한 혐의로 실형을 선고받아, 상장 권한의 사유화와 수익 논리가 투자자 보호를 압도한 실태가 법정 기록으로 남았다.
전대규 이화여대 법학전문대학원 겸임교수는 "반복되는 대규모 해킹과 상장 비리 의혹은 개별적 일탈이 아니라, 경영진이 관리적 허점을 스스로 장기간 방치하여 자정 능력을 상실했을 때 나타나는 필연적 결과"라고 비판했다.
 |
| 서울 서초구 빗썸 고객센터의 모습. (사진=연합뉴스) |
◇ 사고의 패턴…관리의 부재가 아닌 구조적 방치
네 가지 사고는 표면적으로 달라 보이지만 하나로 수렴한다.
오지급은 장부 내부통제의 실패를, FIU 제재는 자금흐름 감시의 부재를, 반복된 해킹은 자산 보호 통제의 취약성을, 상장 비리는 이해상충 관리의 실패를 각각 드러냈다.
시스템은 있었지만 내부통제는 없었고, 규정은 있었지만 작동하지 않았다. 거래소가 시장의 중심에 설수록 신뢰는 기술이 아니라 통제에서 나온다. 빗썸은 지난 수년간 그 가장 기본적인 원칙을 번번이 입증하지 못했다.
<다음 2회차 예고>
<제2회: 지배구조의 민낯 — "보이지 않는 주인, 통제받지 않는 의사결정 권력">을 통해 복잡하게 얽힌 소유 구조, 유명무실한 사외이사, 그리고 감시자 없는 자기감시 체계가 어떻게 이 모든 대형 사고를 묵인하고 가능하게 만들었는지 지배구조의 심연을 파헤친다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
