NEWS

경찰과 검찰이 눈 뜨고, 비트코인을 털린 두 개의 사건을 연이어 보도해 드리겠습니다. 먼저 경찰입니다. 강남경찰서가 비트코인 22개를 도둑맞았습니다. 해킹 범죄에 연루돼 4년 전쯤 확보한 코인인데 현재 시세론 21억원 정도 됩니다. '마스터 키'만 알면 외부에서 얼마든지 빼갈 수 있다는 사실을 몰랐고, USB 형태의 코인 지갑만 보관했다가 해커에게 탈취당했습니다.

2021년 11월, 서울 강남경찰서는 한 코인 업체의 해킹 피해 사건을 수사하고 있었습니다.
당시 경찰은 범죄에 연루된 비트코인 22개를 임의제출 받았습니다.
그런데, 경찰 콜드월렛이 아닌 외부 콜드월렛에 보관하면서 문제가 시작됐습니다.
콜드월렛은 USB 형태의 코인 지갑입니다.
그리고 코인 지갑마다 실물 저장 장치를 잃어버려도 복구할 수 있는 '니모닉 코드' 가 있습니다.
이 코드만 알면 USB 실물이 없어도 코인 지갑에 접근할 수 있는 겁니다.

[최화인/초이스뮤온오프 대표 (암호화폐 전문가) : 지갑의 모든 잔고를 움직일 수 있는 마스터키입니다. 니모닉 문구가 새면 다른 지갑에서 그대로 복구해서 자산을 탈취해 갈 수 있습니다.]

그런데 강남서가 보관하고 있던 외부 코인 지갑의 니모닉 코드를 해커 정모 씨가 알고 있었던 정황이 포착됐습니다.
코인 업체 관계자는 최근 경찰에 "해킹 피의자 정모 씨가 2022년 5월 니모닉 코드를 확보했다"고 진술했습니다.
지금 시세로 21억원에 달하는 양입니다.
경찰은 4년이 지난 최근에서야 탈취 사실을 알았습니다.

[경기북부경찰청 관계자 : {그건 알고 계셨어요? 외부에서 특정 키가 있으면.} 그건 당연히 알고 있죠. 그건 상식인데. {강남서는 그걸 몰랐던 거잖아요.} 몇 년 전에는 그런 부분들이 있었는지도 잘 모를 때가 많았죠.]

정 씨는 지난 2023년 말 필리핀으로 출국한 거로 전해집니다.
뒤늦게 경찰청은 가상자산 별도 관리 규정을 마련하고 있습니다.

이번에는 검찰입니다. 지난해 광주지검이 코인지갑을 압수했습니다. 그 잔액을 확인하려고 코인지갑 사이트에 들어가 '24글자 코드'를 손수 적었습니다. 알고 보니 피싱 사이트였습니다. 실제 사이트에서는 "사칭하는 피싱사이트를 조심하라"는 경고문까지 내걸었는데 엉뚱한 곳으로 가 코인을 빼갈 수 있는 열쇠까지 내준 셈입니다. 그렇게 사라진 비트코인은 320개에 달합니다.

지난해 8월 광주지검은 압수물인 코인지갑의 잔액을 확인하려고 한 사이트에 접속했습니다.
해당 코인지갑 업체인 '렛저' 사이트처럼 위장한 피싱 사이트였습니다.
피싱사이트 안내에 따라 코인지갑 USB를 꼽았습니다.
사이트는 마스터키 격인 '니모닉 코드' 24글자를 손수 입력하게 했습니다.
코인지갑과 그 지갑을 열 수 있는 열쇠까지 직접 넘겨준 셈입니다.
그리고 몇 분 뒤 해당 코인지갑에 있던 비트코인 320개가 전부 사라졌습니다.
피싱사이트 접속 30여분만인 오후 3시 10분쯤 5개 코인지갑에 있던 비트코인 320개가 또 다른 지갑 한 개로 넘어갔고, 30분 뒤,정체불명의 지갑으로 전부 옮겨졌습니다.
검찰이 코인지갑 업체의 공식홈페이지만 잘 찾아갔어도 피해를 막을 수 있었습니다.
공식 홈페이지엔 피싱사이트 주소까지 올려놓고 "사칭 사기 사이트를 조심하라", "함부로 코드를 입력하지 마라"는 경고문이 게시돼 있기 때문입니다.
심지어 코인지갑 잔액은 '블록체인 사이트'에 지갑 주소만 입력해도 조회할 수 있습니다.
애초에 니모닉코드를 입력할 필요가 없는 겁니다.

[조재우/한성대 교수 (블록체인연구소장) : (블록체인) 사이트에 들어가서 자기가 알고 있는 그 지갑 주소를 입력을 하면 현재 잔액이 바로 나옵니다. 상식적으로는 말이 안 되는데 지식이 너무 전무해서 그런 식으로 했다 하면…]

광주지검은 "잔액 확인 방법을 몰랐던 게 맞다"고 인정했습니다.
대검찰청은 "최근 가상자산 보관 관리 유의사항을 전파했다"고 했습니다.
검찰이 6개월 뒤에야 뒤늦게 탈취 사실을 알고 수사에 착수하자 범인은 비트코인 320개를 전부 되돌려줬습니다.
검찰은 피싱사이트를 추적하는 한편, 내부자 연루 가능성도 배제하지 않고 있습니다.

경찰과 검찰이 눈 뜨고, 비트코인을 털린 두 개의 사건을 연이어 보도해 드리겠습니다. 먼저 경찰입니다. 강남경찰서가 비트코인 22개를 도둑맞았습니다. 해킹 범죄에 연루돼 4년 전쯤 확보한 코인인데 현재 시세론 21억원 정도 됩니다. '마스터 키'만 알면 외부에서 얼마든지 빼갈 수 있다는 사실을 몰랐고, USB 형태의 코인 지갑만 보관했다가 해커에게 탈취당했습니다.

2021년 11월, 서울 강남경찰서는 한 코인 업체의 해킹 피해 사건을 수사하고 있었습니다.
당시 경찰은 범죄에 연루된 비트코인 22개를 임의제출 받았습니다.
그런데, 경찰 콜드월렛이 아닌 외부 콜드월렛에 보관하면서 문제가 시작됐습니다.
콜드월렛은 USB 형태의 코인 지갑입니다.
그리고 코인 지갑마다 실물 저장 장치를 잃어버려도 복구할 수 있는 '니모닉 코드' 가 있습니다.
이 코드만 알면 USB 실물이 없어도 코인 지갑에 접근할 수 있는 겁니다.

[최화인/초이스뮤온오프 대표 (암호화폐 전문가) : 지갑의 모든 잔고를 움직일 수 있는 마스터키입니다. 니모닉 문구가 새면 다른 지갑에서 그대로 복구해서 자산을 탈취해 갈 수 있습니다.]

그런데 강남서가 보관하고 있던 외부 코인 지갑의 니모닉 코드를 해커 정모 씨가 알고 있었던 정황이 포착됐습니다.
코인 업체 관계자는 최근 경찰에 "해킹 피의자 정모 씨가 2022년 5월 니모닉 코드를 확보했다"고 진술했습니다.
지금 시세로 21억원에 달하는 양입니다.
경찰은 4년이 지난 최근에서야 탈취 사실을 알았습니다.

[경기북부경찰청 관계자 : {그건 알고 계셨어요? 외부에서 특정 키가 있으면.} 그건 당연히 알고 있죠. 그건 상식인데. {강남서는 그걸 몰랐던 거잖아요.} 몇 년 전에는 그런 부분들이 있었는지도 잘 모를 때가 많았죠.]

정 씨는 지난 2023년 말 필리핀으로 출국한 거로 전해집니다.

뒤늦게 경찰청은 가상자산 별도 관리 규정을 마련하고 있습니다.

국회가 60조원 규모 비트코인 오지급 사고가 발생한 디지털자산(가상자산) 거래소 빗썸 사태 관련해 국회 차원의 대책 논의에 나선다. 실제 자산 보유량을 초과하는 비트코인이 지급된 장부 거래 구조와 내부통제 시스템 문제를 집중 점검하고 디지털자산기본법에 반영할 제도개선 방안도 논의할 전망이다.

9일 국회에 따르면 국회는 11일 오전 10시 국회 정무위원회 전체회의를 열고 금융위원회와 금융감독원으로부터 빗썸 사태 관련해 보고를 받고 후속 대책을 논의한다. 금융정보분석원(FIU)과 이재원 빗썸 대표이사도 참석할 예정이다.

민주당 정무위 간사인 강준현 의원은 이데일리와 통화에서 “금융위·금감원과 빗썸 대표가 참석한 가운데 빗썸 사태 관련해 정확하게 현황을 파악하고 재발방지 대책을 다룰 것”이라고 예고했다. 민주당 디지털자산태스크포스(TF) 위원장을 맡고 있는 이정문 의원은 “빗썸 오지급 사태 및 개선과제를 점검할 것”이라고 강조했다.

전문가 사이에서는 허술한 내부통제 구조를 개선하려면 고강도 진상규명과 대책이 필요하다는 의견이 제시된다. 민주당 디지털자산태스크포스(TF) 자문위원인 김종승 엑스크립톤 대표는 이데일리와의 전화 인터뷰에서 “일시적인 시스템 오류가 발생한 것인지, 아니면 과거부터 의도적으로 작동 안 되게 방치했는지가 관건”이라며 “과거에도 알게 모르게 실제 보유량을 초과한 거래가 있었는지 여부 역시 중점적으로 살펴봐야 할 것”이라고 지적했다.

이정수 서울대 법학전문대학원 교수(금융법 전공)는 전화 인터뷰에서 “핵심은 빗썸이 가지고 있지도 않았던 62만개 비트코인을 주는 것이 어떻게 가능했는지”라며 “보유 수량 이상의 비트코인이 거래될 수 있었다는 것 자체가 이미 심각한 내부통제 위반”이라고 지적했다.

이 교수는 “거래소가 이같은 문제를 해결하지 못한다면 시장에 진입하지 못하도록 하는 인가 규제를 디지털자산기본법에 반영해야 한다”며 “인가 이후 시장에 진입한 이후에도 강력한 내·외부 규제가 계속 뒤따라야 한다”고 강조했다.

디지털자산 전문가 최화인 초이스뮤온오프 대표는 “장부를 조작해 보유하지 않은 유령 코인이 장부상 존재하거나, 과거에도 유사한 문제가 있었을 가능성까지 함께 거래소 전반을 점검해야 한다”며 “엄중한 후속 대책이 필요하다”고 강조했다.

더불어민주당이 60조원 규모 비트코인 오지급 사고가 발생한 디지털자산(가상자산) 거래소 빗썸 사태 관련해 국회 차원의 대책 논의에 나선다. 실제 자산 보유량을 초과하는 비트코인이 지급된 장부 거래 구조와 내부통제 시스템 문제를 집중 점검하고 디지털자산기본법에 반영할 제도개선 방안도 논의할 전망이다.

9일 국회에 따르면 민주당은 10일이나 11일 국회 정무위원회 전체회의를 열고 금융위원회와 금융감독원으로부터 빗썸 사태 관련해 보고를 받고 후속 대책을 논의하는 방안을 국민의힘과 협의 중이다.

민주당 정무위 간사인 강준현 의원은 9일 오후 이데일리와 통화에서 “화요일 또는 수요일 정무위 전체회의 개최를 놓고 국민의힘과 논의 중이지만 아직 결론이 나지 않았다”며 “야당이 물리적으로 시간이 안 돼 협의가 결렬되면 화요일 또는 수요일에 민주당 정무위 및 디지털자산태스크포스(TF) 차원에서 금융위·금감원 보고를 받고 관련 논의를 진행할 계획”이라고 말했다.

이찬진 금감원장은 9일 2026년 금융감독원 업무계획 발표 및 기자간담회를 열고 “오입력 된 가상의 데이터가 거래됐다는 점이 본질”이라며 “규제 감독 체계가 해결되지 않을 때에는 인허가와 관련된 리스크가 발생할 수 있도록까지 규제 감독 체계를 강화하는 방안이 필요하다”고 말했다.

이 원장은 “(오입금된) 비트코인을 파신 분들은 재앙적으로 불안정한 위치에 처한 것”이라며 “오입금 된 비트코인은 부당이득반환 대상인 것은 명백하다. 반환돼야 하는 것은 이론의 여지가 없다”고 강조했다.

전문가 사이에서는 허술한 내부통제 구조를 개선하려면 고강도 진상규명과 대책이 필요하다는 의견이 제시된다. 민주당 디지털자산태스크포스(TF) 자문위원인 김종승 엑스크립톤 대표는 이데일리와의 전화 인터뷰에서 “일시적인 시스템 오류가 발생한 것인지, 아니면 과거부터 의도적으로 작동 안 되게 방치했는지가 관건”이라며 “과거에도 알게 모르게 실제 보유량을 초과한 거래가 있었는지 여부 역시 중점적으로 살펴봐야 할 것”이라고 지적했다.

서은숙 상명대 경제금융학부 교수는 2024년 7월 시행된 가상자산이용자보호법의 한계도 지적했다. 해당 법에 따르면 거래소가 고객 코인을 자기 돈처럼 쓰는 것을 원천 차단하기 위해 이용자 자산과 거래소 고유 자산을 반드시 분리 보관해야 한다.

해킹·전산 오류 발생 시 대규모 피해를 방지하기 위해 고객 가상자산의 80% 이상을 콜드월렛(Cold Wallet·인터넷과 분리된 오프라인 지갑) 에 보관해야 하고, 핫월렛(Hot Wallet·온라인 지갑)은 20% 이내 보관하도록 규정돼 있다.

이에 대해 서 교수는 “(이렇게 이행하는지) 실제 준수 여부는 연 1회 외부 감사로만 확인된다”고 꼬집었다. 이어 그는 “외국 같은 경우에는 프루브 오브 리저브(Proof of Reserves·PoR)라고 해서 보관하고 있는 상태를 증명서로 실시간으로 확인할 수 있다”며 “(우리나라는 연 1회 외부 감사일뿐) 실시간 모니터링이 없다”고 지적했다.

디지털자산 전문가 최화인 초이스뮤온오프 대표는 “장부를 조작해 보유하지 않은 유령 코인이 장부상 존재하거나, 과거에도 유사한 문제가 있었을 가능성까지 함께 거래소 전반을 점검해야 한다”며 “엄중한 후속 대책이 필요하다”고 강조했다.

국내 가상자산 거래소 빗썸이 지난 6일 비트코인 시세 맞추기 당첨 이벤트 물량 지급 과정에서 62만개 비트코인을 오지급하는 사고가 발생했다. 이로 인해 내부통제와 신뢰도에 타격을 입었다.

9일 가상자산 업계에 따르면 빗썸은 지난 6일 오후 7시 당첨자 695명에게 이벤트 리워드를 지급하는 과정에서 비트코인 수량 입력 실수로 62만 개 비트코인을 지급했다.

이후 7시 20분에 오지급했음을 인지하고 7시 35분에 거래 및 출금 차단을 시작해 5분 뒤인 7시 40분에 거래와 출금 차단을 완료했다.

이 과정에서 비트코인 1788개가 빗썸에서 매도되어 비트코인 가격이 급락했다. 거래소는 매도된 비트코인의 93% 가량을 회수 완료했다고 밝혔다.

빗썸은 이상거래 내부 통제 시스템을 통해 오지급 발생 35분만에 비트코인이 오지급된 695명 고객에 대한 거래 및 출금을 차단했다. 오지급 금액의 99.7% 수준인 61만 8212개를 회수했으며 미회수 자산에 대해선 회수 조치를 진행 중이다.

이후 거래소는 지난 7일 오후 4시 기준 예상 고객 손실 금액을 약 10억 원 내외로 파악했다. 추가 손실분까지 회사가 모두 보상하겠다고 밝혔다.

이번 사고와 관련해 소수 직원의 비트코인 수량 입력 오류로 다량의 비트코인이 지급됐다는 점에서 빗썸의 내부통제가 허술한 게 아니냐는 지적이 나왔다.

또한 2025년 3분기 빗썸 사업보고서에 따르면 빗썸이 보유한 비트코인 수량은 175개, 고객이 위탁한 비트코인은 4만2619개인데 오지급된 수량이 62만개에 달한다는 점에서 유령 코인을 지급한 게 아니냐는 의혹도 제기됐다.

이와 관련 조태나 유진투자증권 연구원은 "이번 오지급 사태는 거래소의 장부거래 구조에서 발생한 사고"라며 "거래소 내부 데이터베이스 상 숫자 조작만으로 실제 보유량보다 훨씬 많은 비트코인이 지급됐다는 건 그 숫자가 실제 자산이 아니라 장부상의 기록에 불과했기 때문"이라고 설명했다.

조 연구원은 "이는 2018년 삼성증권 유령 주식 사건 때 담당자가 우리사주 배당 단위를 '원' 대신 '주'로 잘못 입력하면서 수십조 원어치 이상 존재하지 않는 주식이 계좌에 찍혔던 것과 구조적으로 동일한 문제"라며 "이 정도 규모의 오지급이 가능했던 건 내부 장부 간 실시간, 강제 검증 구조가 없었다고 추측할 수밖에 없다"고 덧붙였다.

이와 관련해 빗썸의 내부통제 부실이 드러나 관련 규제가 강화될 수밖에 없게 됐다고 전문가들은 지적했다.

채상미 이화여자대학교 경영학과 교수는 "이번 오지급 사태는 가상자산 거래소의 내부통제가 얼마나 허술한지 드러난 사례"라며 "금융당국이 거래소의 내부통제 규제를 강화하는 기조로 갈 수밖에 없게 됐다"고 말했다.

최화인 초이스뮤온오프 대표 역시 "이번 오지급 사고는 대주주 지분 제한 등을 추진하고 있는 금융당국의 규제 강화에 상당한 당위성을 제공했다"며 "단순 '팻 핑거'(인간이 저지르는 기기 조작 실수로 인한 문제들이라는 뜻)의 문제로 볼 수 없게 됐다"고 설명했다.