데일리연합 (SNSJTV) 김용두 기자 | 2026년 2월 6일 오후 7시, 국내 가상자산 거래소 빗썸에서 금융 역사에 길이 남을 초대형 사고가 발생했다. 랜덤박스 이벤트 과정에서 약 695명의 이용자에게 1인당 2000개씩, 총 133조 원 규모의 비트코인이 잘못 지급됐다.
사고 원인은 황당하기 그지없다. 이벤트 당첨금으로 현금 2000원을 지급하려던 과정에서 단위 입력 실수가 발생해, 당첨자 계좌에 '2000 BTC'가 입금되는 형태로 이어졌다. 단위 하나를 잘못 입력한 것이 133조원짜리 재앙으로 번진 것이다.
보유 포인트로 이벤트에 참여한 이용자는 695명이었으며, 빗썸은 그 중 랜덤박스를 오픈한 249명에게 총 62만 원을 주려다 62만 개의 비트코인을 지급하고 말았다. 1인당 평균 2490개, 당시 비트코인 시세 9800만원 기준으로 환산하면 1인당 2440억원에 달하는 금액이다.
8년 전 삼성증권, 그리고 오늘의 빗썸
이 사태는 8년 전 삼성증권의 '유령주식 사태'와 구조가 비슷하다. 2018년 4월 6일, 삼성증권이 직원 보유 우리사주에 대한 배당 과정에서 배당금 대신 배당금에 해당하는 단위의 주식을 주면서 일어난 사태가 재현된 것이다.
당시 삼성증권은 주당 1000원의 현금배당 대신 1000주를 잘못 배당해 실제 발행되지 않은 주식 총 28억주를 직원들 계좌로 입고했다. 112조원 규모의 '유령주식'이 순식간에 생성됐고, 직원 16명이 501만주를 매도하면서 삼성증권 주가는 12% 급락했다.
빗썸 사태도 동일한 패턴을 보인다. 비트코인을 잘못 지급 받은 사람 중 해당 상황을 인지하지 못한 이용자를 상대로는 회수를 한 것으로 전해졌다. 그러나 자신의 계좌에 수천억원이 입금된 사실을 확인한 일부 이용자들이 이를 시장가로 즉시 매도했고, 6일 오후 7시 30분경 빗썸의 비트코인 가격은 타 거래소 대비 10% 이상 낮은 8100만원대까지 폭락하기도 했다.
'유령 자산' 논란, 시스템의 근본적 결함 드러내...
더욱 심각한 것은 두 사건 모두 '존재하지 않는 자산'이 거래됐다는 점이다. 빗썸이 보유하지 않은 수십조 원에 달하는 비트코인을 지급하여 거래가 가능했기 때문이다.
빗썸이 위탁받아 보관 중인 비트코인 수량은 지난해 3분기 말 기준 4만2619개였는데, 그보다 훨씬 많은 62만개의 비트코인이 이벤트 당첨금으로 지급됐다. 보유량의 15배에 달하는 비트코인이 장부상으로만 생성되어 실제 거래된 것이다.
삼성증권 사태 역시 마찬가지였다. 발행 주식 총수 8900만주의 30배가 넘는 28억주가 순식간에 생성됐고, 이 중 일부가 실제로 시장에서 거래됐다. 삼성증권 유령주식 사태에서 무차입 공매도를 통한 주가조작 가능성 논란이 발생한 것과 같은 맥락이다.
내부통제 시스템, 8년간 달라진 게 없다
두 사건의 공통점은 명확하다. 내부통제 시스템의 부재다.
삼성증권 사태 당시 금감원에선 삼성증권 배당사고는 내부통제 시스템이 미비한 결과라고 결론을 내렸다. 금융위원회는 삼성증권에 대해 업무 일부정지 6개월 및 과태료 1억 4천4백만원 부과로 조치하고, 前 대표이사 3명은 각각 해임요구 상당 및 직무정지 1월 상당으로, 現 대표이사는 직무정지 3월로 조치했다.
그런데 8년이 지난 2026년, 가상자산 시장에서 동일한 사고가 재현됐다. 빗썸은 6일 오후 7시 이벤트 리워드가 지급됐고, 7시 20분 오지급을 인지했다며 7시 35분부터 거래·출금을 차단하기 시작했고, 7시 40분 차단을 완료했다고 설명했다.
오지급 인지부터 차단까지 20분. 이 시간 동안 수조원 규모의 비트코인이 시장에 쏟아져 나왔다. 삼성증권이 오류 인지 후 37분 동안 방치한 것과 크게 다르지 않다.
다중 검증? 승인 단계? 모두 유명무실
정상적인 금융기관이라면 대규모 자금 이동 시 최소 3단계 이상의 검증을 거쳐야 한다. 담당자 입력 → 팀장 승인 → 리스크관리팀 검토 → 최종 결재자 승인이 기본이다.
그러나 빗썸에서는 62만개의 비트코인이 단 한 번의 입력으로 송금됐다. 133조원이 나가는데 경고음 하나 울리지 않았다. 실시간 모니터링 시스템도 작동하지 않았다. 이는 시스템이 아예 설계되지 않았거나, 의도적으로 우회됐다는 의미다.
삼성증권도 마찬가지였다. 112조원 규모의 주식 배당이 단 한 명의 실수로 실행됐고, 직원들이 매도할 때까지 아무도 막지 못했다.
피해는 누가 책임지나?
빗썸은 잘못 지급한 비트코인 중 99.7%에 해당하는 61만8212개를 즉시 회수했다고 밝혔다. 그러나 비트코인 약 125개 상당, 원화로 치면 133억원은 아직 회수하지 못한 상황이다.
삼성증권은 어땠나. 이른바 '유령 주식 사태'로 불렸던 이 사건이 벌어진 지 3년5개월 만에 법원은 삼성증권이 투자자들에게 손해액 절반을 배상해야 한다고 판결했다. 재판부는 삼성증권이 배당 사고 당시 내부 통제제도나 우발상황에 관한 위험관리 비상계획을 갖추지 못해 배당 오류 사고가 발생했다며 삼성증권의 해명을 받아들이지 않았다.
빗썸 역시 동일한 책임을 피할 수 없다. 금융위원회와 금융감독원은 사안의 심각성을 인지하고 즉시 현장 검사에 착수했다.
가상자산 시장, 관리통제 시스템에 구멍 뚫려
이번 사태가 던지는 메시지는 명확하다. 가상자산 시장의 관리통제 시스템은 전통 금융권보다 훨씬 취약하다.
은행은 바젤 규제 등 엄격한 리스크 관리 기준을 따른다. 증권사는 금융위원회의 직접 감독을 받는다. 그러나 가상자산 거래소는? 사실상 자율 규제에 맡겨져 있다.
현행 「가상자산 이용자 보호 등에 관한 법률」은 내부통제 시스템 구축 의무를 규정하지만, 구체적 기준이나 정기 점검 체계는 부실하다. 수조원의 고객 자산을 다루면서도 규제 사각지대에 방치된 셈이다.
8년 전 교훈은 어디로?
삼성증권 사태 당시 금융당국은 "재발 방지"를 약속했다. 시스템 점검을 강화하고, 내부통제를 의무화하겠다고 했다. 그러나 8년이 지난 지금, 동일한 사고가 가상자산 시장에서 재현됐다.
더 큰 문제는 피해 규모다. 삼성증권은 112조원 규모였지만 실제 거래된 금액은 일부였다. 그러나 빗썸은 133조원 규모 중 상당액이 실제로 시장에서 거래됐다. 회수하지 못한 133억원은 누군가의 '횡재'가 됐다.
단위 하나를 잘못 입력하면 133조원이 사라지는 시스템. 이것이 2026년 대한민국 금융 인프라의 민낯이다.
이제 구조적 개혁이 필요
빗썸과 삼성증권 사태가 주는 교훈은 분명하다.
첫째, 대규모 자금 이동에는 다중 검증 시스템이 필수다. 단 한 명의 실수로 수조원이 움직여서는 안 된다.
둘째, 실시간 모니터링과 자동 차단 시스템이 작동해야 한다. 비정상 거래를 즉각 감지하고 차단하는 AI 기반 시스템 도입이 시급하다.
셋째, 가상자산 거래소에 대한 정부 감독을 강화해야 한다. 내부통제 시스템에 대한 정기 점검, 최소 보안 기준 의무화, 대형 거래 실시간 신고 의무 등이 필요하다.
넷째, 책임자 처벌을 강화해야 한다. 삼성증권 직원들은 결국 집행유예와 벌금형을 받았지만, 재발 방지에는 실패했다. 더 엄중한 처벌과 함께 시스템 개선을 강제해야 한다.
133조원은 단순한 숫자가 아니다. 그것은 우리 금융 시스템이 얼마나 허술한지를 보여주는 적나라한 증거다. 8년 전의 교훈을 망각한 대가는 결국 국민이 치르게 된다.
빗썸이 이번에도 "재발 방지하겠다"는 공허한 약속만 되풀이한다면, 다음 사고는 133조가 아니라 1300조가 될 수도 있다.
금융 시장의 신뢰는 한 번 무너지면 회복하기 어렵다. 지금이 마지막 기회다.
