대한민국 최초 가상자산 거래소 코빗이라는 역사적 타이틀이 흔들리고 있다. 최근 12시간을 초과한 전례 없는 서비스 중단 사태가 결정적이다. 코빗의 기술적 취약성과 위기 대응 능력의 부재를 적나라하게 드러냈기 때문이다. 

단순 사고가 아닌, 고질적인 운영 불안정과 신뢰 상실의 결정판이었다는 평가다.

무슨 일?
사건은 2025년 6월 16일 오후 2시 30분. 어떠한 사전 예고도 없이 시작됐다. 거래, 입출금을 포함한 모든 서비스가 전면 마비되며 투자자들은 자신의 자산에 접근조차 할 수 없는 상황에 내몰렸다. 

코빗은 최초 공지에서 당일 오후 10시 점검 완료를 약속했지만 이를 오후 11시로 한 차례 연장했고, 최종적으로는 다음 날 새벽 2시가 되어서야 점검을 마쳤다. 거래는 새벽 3시부터 재개되어 총 중단 시간은 12시간 30분에 달했다. 이는 2017년 빗썸(1.5시간)이나 2025년 1월 업비트(2시간 이상)의 사례를 압도하는 국내 주요 원화 거래소로서는 유례를 찾기 힘든 수준의 장애였다.

해명은 더욱 가관이다. 코빗 측의 공식 해명은 ‘시스템 내부 네트워크 연결 문제’였지만 이는 사태의 심각성에 비해 지나치게 모호하다는 비판이다. "이렇게 해도 이용자들이 뭘 어떻게 하겠는가?"라는 자신감까지 읽히는 수준이다.

사태 발생 후 금융감독원은 즉각 ‘핫라인’을 통해 상황 파악에 나섰고, 원인 규명 및 재발 방지 대책 검토를 위해 전면적인 현장 검사에 착수했다. 한 투자자는 당시 “정보가 유출된 것인지 이유도 알 수 없는 채 거래가 먹통이 되어 극심한 불안감에 시달렸다”고 토로하며, 코빗의 불투명한 소통 방식이 투자자들의 공포를 키웠다고 증언했다.

특히 이번 사태가 6월 4일 단행된 대규모 웹 트레이딩 시스템(WTS) 개편 직후 발생했다는 점에 주목할 필요가 있다. 업계에서는 준비되지 않은 업데이트가 기존 시스템과 충돌했거나, 그 과정에서 거래 기록(로그)이 손상됐을 가능성을 제기하는 중이다. 외부 공격이 아닌, 미흡한 품질 보증(QA)이 부른 ‘자초한 재앙’일 가능성이 높은 것이다.

참사의 행간

이번 12시간 사태는 예견된 참사였다는 코빗의 공식 장애 보고 건수(2019~2022년 4건)는 업비트(23건)나 빗썸(21건)보다 적지만, 사용자들이 체감하는 불안정성은 수치 이상이기 때문이다. 시장 급변동 시 서버가 다운되거나 거래가 처리되지 않는 문제는 사용자들 사이에서 상식처럼 여겨져 왔다.

사용자 경험(UX) 문제는 더욱 심각하다. 2021년 한 아이폰 사용자는 안드로이드 앱에는 있는 기본적인 ‘평균 매수 단가’ 확인 기능이 없어 포트폴리오 관리가 번거롭다고 지적했으며, 또 다른 사용자는 앱 리뷰에서 "여태 써본 어플 중에 최악"이라며 반복되는 로그인 오류를 비판하기도 했다. 물론 옛날 일이다. 그러나 코빗의 운영 행태에 대해서는 충분히 돌아볼 필요가 있다는 말이 나온다.

심지어 과거에는 ‘보이스피싱 예방’을 명분으로 휴면 계정 해제 시 신분증을 든 ‘셀피(selfie)’ 사진을 요구하다가, 개인정보보호위원회로부터 ‘개인정보 최소 수집 원칙 위반’으로 과태료 480만 원과 시정명령을 받기도 했다. 이는 보안을 이유로 사용자에게 과도한 불편과 리스크를 전가하는 코빗의 정책 기조를 보여주는 대표적인 사례다.

한편 기술적 문제를 넘어 코빗의 거버넌스 리스크는 업계 전체의 신뢰를 위협하고 있다. 특히 디지털자산거래소 공동협의체(DAXA) 의장사로서 보여준 행보는 자율규제 체제의 근간을 흔들었다는 혹평을 받는다.

위믹스(WEMIX) 사태가 대표적이다. 코빗은 2022년 DAXA 회원사들과 함께 유통량 위반을 이유로 위믹스를 상장폐지 시켰다. 그러나 불과 1년 뒤인 2023년 12월, ‘1년 재상장 유예’라는 불문율을 지켰다며 위믹스를 단독 재상장했다. 이후 2025년 5월, 위믹스가 해킹 및 공시 지연 문제로 또다시 상장폐지 대상이 되면서 코빗의 결정은 시장의 조롱거리로 전락했다.

페이코인(PCI) 재상장 결정은 ‘DAXA 무용론’에 쐐기를 박았다. 2024년 4월, 코빗은 상장폐지의 핵심 사유가 해소되었다며 페이코인을 재상장했으나, 이는 DAXA의 공동 결정을 무력화하는 행위라는 거센 비판에 직면했다. 이후 페이코인 가격이 폭락하며 투자자 손실이 발생했고, 결국 거래소가 투자자 보호는 외면한 채 수수료 이익을 위해 무리한 상장을 추진했다는 비난을 피할 수 없게 됐다.

‘안전하지만 쓸모없는’ 역설

총체적 난맥상은 코빗의 시장 경쟁력 추락으로 이어지고 있다. 코빗의 테이커(Taker) 수수료는 경쟁사 대비 4~5배 높은 수준으로, 만성적인 저거래량의 주된 원인으로 지목된다. 2023년 10월, 빗썸을 따라 ‘수수료 무료’ 정책을 도입했으나 불과 4개월 만인 2024년 3월에 폐지하고 0.07% 수수료를 재도입하는 등, 일관성 없는 정책은 전략적 방향성 부재를 드러낼 뿐이다.

코빗의 핵심 리스크가 ‘기술적 취약성과 전략적 무능함의 결합’으로 규정된 이유다. 외부의 공격을 막아내는 보안 능력과 별개로, 플랫폼 자체가 제대로 작동하지 않고 시장에서 매력을 잃고 있다는 것이다.

물론 가장 근본적인 문제는 이러한 사태가 발생해도 현행법상 제재나 구체적인 손해배상 강제가 어렵다는 ‘규제 공백’이다. 금융당국 스스로 "제재 근거가 될 법령이 없다"고 인정하는 상황은 거래소들의 도덕적 해이를 낳고, 그 피해는 고스란히 투자자들에게 돌아가고 있다. ‘대한민국 최초’라는 영광스러운 과거에 갇혀 내부로부터 무너지고 있는 코빗의 현실은, 국내 가상자산 시장의 건전성과 투자자 보호 체계에 대한 근본적인 재검토를 요구하고 있다.

코빗도 다양한 가능성을 타진할 필요가 있다. 리서치 센터를 중심으로 의미있는 시장 발전 전략을 보여주는 한편, 더 단단한 존재감을 보이는 중이지만 그 이상의 전략적 방향성을 보여줘야 한다는 주장에도 힘이 실리고 있다. 원화 마켓 행렬의 끝자락이라 안심하는 순간 순식간에 역사속으로 사라질 최초의 거래소가 될 수 있다는 위기감이 필요하다는 평가다.