빗썸 2000BTC 오지급 사태 이후 “거래소에서 실제로 존재하지 않는 비트코인이 어떻게 거래될 수 있었는가”라는 질문이 제기되고 있다.이 글에서는 이 현상이 왜 가능한 구조인지, 그리고 이를 줄이기 위한 현실적인 대응 방안을 시스템 관점에서 정리해본다.
개요
- 사건 발생
- 거래소 비트코인
- 온체인 비트코인
- 내부 통제 시스템
- 지급 준비금 증명(PoR)
- 마무리
사건 발생
2월 6일 빗썸은 이벤트 참여자 695명에게 당첨금으로 2000원을 지급해야했으나 개개인에게 2000비트코인을 오지급 했다. 따라서 의도되지 않은 비트코인을 입금받은 유저들이 빗썸 거래소에서 대규모 비트코인 매도를 하여 순간 비트코인 가격이 급락했다.
거래소에서 이벤트로 코인을 지급하는 것을 에어드랍이라고 한다. 보통 에어드랍때는 내부적으로 코인 타입과 갯수를 설정하고 유저 아이디로 이를 보내는 형식이다. 이번에 원화를 지급해야하는 상황에서 내부 오류로 타입이 비트코인으로 잘못 설정되어 문제가 발생한 것으로 보여진다.
오류로 지급된 총 비트코인의 개수는 대략 62만개로 지구에서 가장 많은 비트코인을 가지고 있는 마이크로스트레트지(MSTR)의 71만개보다 9만개 정도 적은 어마어마한 양이다. 공개자료 기준으로 실제 빗썸의 비트코인 보유량은 회사분 145개, 유저 소유 4만 수준이다.
거래소 비트코인
그럼 어떻게 빗썸은 회사 보유량보다 12배 넘개 많은 비트코인을 유저들에게 보낼 수 있었을까? 거래소가 운영되는 방식이 유저가 가지고 있는 비트코인을 숫자로 기록만 하기 때문이다. 유저가 비트코인을 팔고 살때 단순히 유저 잔고의 숫자를 올리고 내려서 스마트폰 화면을 통해 보여준다. 실제 비트코인은 비트코인 네트워크에서 이동하지 않고 거래소 지갑에 보관되어 있다. 따라서 거래소의 데이터베이스가 블록체인과 별개로 운영된다. 따라서 오류로 빗썸에서 유저의 비트코인 잔고가 9999999비트코인이 될 수도 있다. 사람들은 이를 유령 비트코인이라고 한다. ‘유령 비트코인’이란 블록체인 상에 실제로 존재하지 않지만, 거래소 내부 장부에서는 유효한 잔고처럼 취급되는 숫자를 의미한다.
온체인 비트코인
그럼 실제 블록체인의 비트코인은 어떻게 다를까? 거래소 비트코인은 거래소가 관리하는 DB에서 숫자를 올리고 내리는 것인 반면, 실제 비트코인은 비트코인 네트워크에서 이전에 채굴된 비트코인의 주인이 바뀌는 방식으로 주고받는다. 이를 UTXO라고 부르는데 일반인 입장에서 여기까지 알 필요는 없다. 따라서 내가 가지고 있는 비트코인을 다른 사람에게 보낼 때 내 비트코인의 소유자를 수신자로 바꾸고 이를 내 비밀번호로 암호화한다. 이게 가능한 이유는 비트코인의 소유자의 비밀번호로만 소유자를 바꿀 수 있기 때문이다. 비트코인의 명의를 바꿀 때 기존 명의자의 비밀번호가 필요하다 정도로 이해하면 된다.
따라서 유저가 실제 비트코인 인출을 요구하면 아래와 같이 비트코인 네트워크에서 빗썸 소유분 비트코인 중 일부의 명의를 유저의 명의로 바꾼다.
유저의 비트코인 인출 이후에 빗썸 화면에서는 유저 A의 잔고가 0으로 업데이트된다.
따라서 비트코인 네트워크 인출을 하지 않는 이상 빗썸 데이터베이스의 관리는 오로지 빗썸의 몫이기 때문에 빗썸이 62,000비트코인이 실제로 없어도 200여명의 유저들에게 2000비트코인을 빗썸 앱에서 지급할 수 있는 것이다. 다만 유저들에게 지급되는 비트코인들은 모두 빗썸이 추후 유저가 인출을 요청하면 지급해야하는 부채이다. 따라서 실수가 아닌 이상 과도하게 비트코인을 지급할 이유가 없다.
내부 통제 시스템
실제로 오지급된 62만개의 비트코인중 일부가 빗썸 거래소에서 매도되어서 인출되었고 125개 정도가 미회수된 상태이다. 개인의 실수 여부와 별개로, 이 사고가 가능했던 구조 자체를 보면 내부 통제 설계 측면에서 재검토할 지점이 존재한다. 따라서 내부적으로 내부 통제 시스템 고도화로 예방을 시도할 수 있을 것 같다. 내부통제시스템이란, 일정 금액 이상의 지급에 대해 다단계 승인, 지연 지급, 사전 시뮬레이션 등은 내부 통제 설계의 하나의 옵션이 될 수 있다
지급 준비금 증명 (PoR)
가상자산 거래소의 지급준비율은 100%이다. 이 말은 유저가 맡긴 돈 전부를 유저에게 다시 돌려줄 수 있게 보관하고 있어야 한다는 말이다. 따라서 가장 중요한 부분은 거래소가 자신이 소유한 비트코인보다 더 많은 비트코인을 유저들에게 분배할 수 없어야 한다.
한국의 4대 거래소는 분기별로 회계법인과 함께 가상자산 실사 보고서를 발표한다. 다만 정보가 제한적이고 그 사이에 어떤 일이 발생하면 이를 막거나 탐지할 수 없다는 단점이 있다.
FTX, 마운트 곡스 사태 등 코인이 없는 상태에서 거래소 운영을 했던 큰 사건을 겪은 뒤 미국에서는 바이낸스와 크라켄, 리버파이낸셜 등을 필두로 유저가 직접 확인할 수 있는 지급준비금 증명을 제공하고 있다.
지급 준비금 증명에도 여러 방식(지갑공개, 머클트리와 영지식증명)이 있고 각각 구현 난이도가 다르고 장단점이 존재한다. 다만 가상자산의 특성상 기초자산이 공개된 블록체인 장부를 통해 실시간으로 조회가 가능하기 때문에 규제당국이 이를 요구하는 것이 거래소 입장에서 크게 어려운 일이 아니다. 이를 어떻게 설계하느냐가 중요하다. 다만 지급준비금 증명은 모든 사고를 방지하는 만능 장치는 아니다. 거래소가 실제 보유 자산을 초과한 거래를 장기간 유지하기 어렵게 만드는 구조적 제약을 제공한다는 점에서 의미가 있다. 바이낸스의 지급준비금 증명이 어떤 절차를 통해서 진행되는지 궁금하신분은 아래 글을 참고해주시기 바란다.
https://soccer-programming.tistory.com/61
바이낸스 준비금 증명 Proof Of Reserve system A to Z
개요 결론 PoR 관련 변수들 머클트리 바이낸스 PoR에서의 머클트리 머클 리프 검증 머클 트리 검증 마무리 Binance Releases Proof of Reserves System | Binance Support Wallet Maintenance Updates www.binance.com FTX가 파산
soccer-programming.tistory.com
마무리
미국은 이미 코인담보대출을 하고 있다. 이렇게 가상자산은 레거시 금융과 연결되고 있는 상황에서 기초자산이 주로 거래되는 거래소 유령비트코인의 존재는 이를 기초해 만들어진 금융상품에 엄청난 리스크를 만들 수 있다. 이번 사태는 특정 거래소의 실수라기보다, 중앙화 거래소가 공통으로 가진 구조적 리스크를 다시 드러낸 사례에 가깝다. 이를 내부 통제에만 맡길 것인지, 아니면 외부에서 검증 가능한 구조를 제도적으로 요구할 것인지는 이제 규제당국이 판단해야 할 지점이다. 우리나라가 이를 잘 설계하여 가상자산 선진규제의 틀을 마련했으면 한다. 블록체인 산업이 한국에서 꽃을 피워 똑똑한 한국 인재들이 세계 시장에서 능력을 자유롭게 펼치는 모습을 상상하며 글을 마무리한다.
참고자료
- https://www.news1.kr/finance/blockchain-fintech/6066010
- https://www.blockmedia.co.kr/archives/1043174
- https://www.mk.co.kr/news/stock/11355090
- https://www.mk.co.kr/news/stock/11354025
- https://biz.chosun.com/stock/finance/2026/02/08/VITZPOMN6BB7LDYJ5KGIS27SOU/
'Blockchain > News' 카테고리의 다른 글
| 바이낸스 준비금 증명 Proof Of Reserve system A to Z (2) | 2022.12.27 |
|---|---|
| Collectives - Web 3.0 SNS by 신디케이트 (2) | 2022.09.25 |
| [Drug Like] Proof Of Optimization (0) | 2022.09.04 |
| SEC 증권성 판단, 호위테스트 (3) | 2022.08.20 |
| POAP 출석증명 NFT (0) | 2022.08.03 |
댓글