Mt.Gox · 85만 BTC 상실 · 11년 포렌식 타임라인

서문 · 한 번도 쓰여서는 안 됐을 이름

'Mt.Gox'라는 이름이 인터넷에 처음 등장한 해는 2007년이었습니다. Jed McCaleb이라는 미국 프로그래머가 매직 더 개더링(Magic: The Gathering)이라는 카드 게임의 디지털 카드를 거래할 수 있게 만든 작은 사이트의 이름이었고, 풀네임은 'Magic: The Gathering Online Exchange', 줄여서 MTGOX였습니다. 그 시점에 비트코인은 아직 공개 네트워크로 존재하지 않았고, '가상자산 거래소'라는 단어는 누구의 어휘 사전에도 없었습니다. McCaleb이 그 사이트를 만든 이유는 본인이 매직 플레이어였고, 카드 매수자와 매도자를 깔끔하게 매칭할 만한 자리를 찾지 못해서였습니다.

이 도메인 이름은 — 누구도 진지하게 결정한 적 없는 일련의 선택을 거쳐 — 결국 가상자산 역사상 최초의 본격적 중앙화 거래소가 되었습니다. 이름은 한 번도 바뀌지 않았습니다. 2013년 Mt.Gox가 전 세계 BTC 거래량의 70% 이상을 처리하던 시기에도 보도자료에는 그 농담조의 약자가 그대로 박혀 있었습니다. 시간이 지나 저는 이 사실을 단순한 흥미거리가 아니라 가상자산 업계 초기 인프라 전체의 주제문으로 읽게 됩니다 — 이 산업의 첫 주요 금융 거점은 카드게임 프로그래머가 미처 지우지 못한 부수 프로젝트였고, SSL 인증서가 아직 유효해서 재활용된 것입니다. 첫날부터, 결국 짊어지게 될 무게를 위해 지어진 적이 없었습니다.

그리고 더 이상하게 흘러갑니다. 배는 2014년에 가라앉았고, 가라앉아도 크게 가라앉았습니다 — 2월 28일 발표는 손실을 약 85만 BTC로 잡았는데 2026년 가격으로 환산하면 510억 달러를 넘습니다. 그 뒤 채권자들은 10년을 법적 절차 속에서 보냈습니다. 2024년 7월 첫 배치 분배가 채권자 지갑에 실제로 도착한 그날, 2014년에 자기 잔액 전체를 손실 처리했던 많은 사람의 지갑에는 — 코인당 수만 달러의 비트코인이 — 그들이 몇 년 전 미리 지정해 두었던 주소에 갑자기 들어와 있었습니다. '가라앉았는데 채권자가 이익을 봤다'는 곡선의 이 부조리에는 가상자산 업계 안에 진정한 선례가 없습니다. 이 아카이브 안 어디에도 똑같은 모양의 두 번째 배는 없습니다.

이 권에서 제가 하려는 일은 그 곡선을 시간 순서로 천천히 걸어가는 것입니다. 어떻게 배가 지어졌고, 시장 전체를 어떻게 삼켰으며, 균열은 어디서 처음 열렸고, 마침내 어떻게 가라앉았는지 — 출처와 함께 연도별로. 감상도 사설도 없이. 다만 영어권의 통상적 요약이 가볍게 지나가는 세 가지에는 더 많은 분량을 들이겠습니다.

• BTC 가격을 Mt.Gox 호가창에서 17달러에서 0.01달러까지 무너뜨린 2011년 6월의 침해 사건. 이 사건이 — 2014년 2월의 발표가 아니라 — 실제 재난의 출발점입니다. 이후 모든 일은 이미 구멍 난 선체에서 물이 새어 나오는 과정에 불과합니다.
• Transaction malleability의 기술적 디테일: Mt.Gox가 2014년 2월 출금 정지 시 그것을 원인으로 인용한 방식, 그 설명이 기술적으로는 가능하지만 누적 65만 BTC 손실을 수학적으로는 설명할 수 없는 이유, 그리고 BIP62와 SegWit이라는 프로토콜 레벨 수정이 실제 버그를 어떻게 닫았는지.
• Wizsec과 Kim Nilsson의 온체인 조사 — 가상자산 역사상 처음으로 민간인 조사관들이 체인 분석을 직접 수행해 외국 국적 자금세탁 운영자를 프랑스 감옥에 보낸 사건.

그 뒤 제11장에서 다시 2026년 5월로 돌아옵니다 — 트러스티가 지금까지 보유 중인 BTC, 실제로 진행된 분배 상황, 남은 8% 채권자가 어디에 서 있는지. 제6장은 한국 초기 BTC 보유자의 시선을 따로 분리했습니다 — 김치 프리미엄이라는 단어가 왜 정확히 이 시기에 한국 가상자산 어휘로 들어왔는지를 보려면, Mt.Gox가 가라앉은 직후 1-2년 동안 한국 거래소 풍경이 어떻게 진공을 채워 갔는지를 같이 봐야 합니다. 제7장에는 2018년 BitGrail에서 첫 NANO 포지션을 잃은 저 자신의 개인적 기록을 넣었습니다 — 그 경험을 통해 저는 BitGrail과 Mt.Gox가 페인트만 다른 같은 배라는 사실을 머리가 아니라 몸으로 알게 됐습니다.

긴 글입니다. 커피 한 잔 따라놓고 의자에 기대 앉으시기 바랍니다. 이 권은 네 번 다시 썼습니다 — Mt.Gox 자료는 양이 많고 다툼이 있는 디테일은 누구의 진술을 신뢰하느냐에 따라 크게 갈리기 때문에, 분쟁이 있는 모든 주장에는 가능한 한 1차 출처를 붙이려 했습니다. 명백한 사실 오류를 발견하시면 알려 주십시오. 공개 정정에 제보자 이름을 명기하겠습니다.

TL;DR · 핵심 숫자

제1장 · 카드 거래 사이트에서 BTC 거래소로 (2007-2011)

매직 더 개더링의 과거 (2007-2010)

2007년의 Jed McCaleb은 이미 연쇄 창업가였습니다 — 그는 초기 P2P 파일 공유 네트워크 eDonkey2000과 Overnet을 만든 사람이었습니다. 본인이 수년 뒤 Stellar 블로그에 쓴 회고에 따르면, 당시 그는 매직 더 개더링 포럼에서 시간을 보내며 한 가지를 구체적으로 인식하고 있었습니다 — 카드 거래의 상대방을 찾는 일이 고통스럽게 비효율적이라는 점이었습니다. 전형적 흐름은 포럼 스레드, 가격 협상용 비공개 이메일, PayPal 송금, 우편 발송으로 이어졌습니다. 처음부터 끝까지 평균 2주가 걸렸습니다.

McCaleb은 약 일주일에 걸쳐 Magic: The Gathering Online Exchange(약자 MTGOX)라는 단순한 웹사이트를 작성했습니다. 메커닉은 최소였습니다 — 판매자가 카드를 가격과 함께 게시; 매수자가 사이트에 결제(에스크로); 판매자가 카드 발송; 매수자가 수령 확인; 사이트가 대금을 풀어줌. eBay + PayPal의 카드용 미니어처였습니다. 몇 달간 운영되었고, 트래픽은 소박했으며, 카드 상태 분쟁·분실·결제했지만 미발송 사기 등의 운영 두통이 충분히 누적되어 2008년 초 어느 시점 McCaleb은 사이트를 닫았습니다.

도메인은 2년간 McCaleb 명의로 잠들어 있었습니다. 그러다 2010년 초, McCaleb은 Slashdot에서 비트코인에 관한 글을 봤습니다. 그 통화는 그 시점에 한 살을 갓 넘긴 상태였고, 대부분의 독자에게는 법화 진출 경로가 없는 암호학 호기심거리로 취급되고 있었습니다. McCaleb의 즉각적 판단은 — 비트코인이 만약 채택을 찾아간다면 사람들이 달러로 사고팔 수 있는 거래소가 필요하다는 것이었습니다. 그는 자신의 만료된 사이드 프로젝트들을 훑어보다가 MTGOX가 짧고 외우기 쉽고 SSL 인증서가 아직 만료되지 않았음을 확인했습니다. 그는 도메인을 용도 변경했습니다.

어원에서 가장 부조리한 부분은 — 가상자산 최초의 주요 거점이 'Mt.Gox'라는 이름을 가진 유일한 이유가 브랜딩도 전략도 아닌 단지 지갑 안에 도메인이 남아 있어서였다는 사실입니다. 만약 2009년에 MTGOX가 만료되도록 두었더라면, 가상자산 최초의 큰 배는 다른 이름을 가졌을 것입니다. 이 이름은 업계가 끝내 읽어내지 못한 조용한 경고를 함께 데려왔습니다 — 한 명의 개발자가 만들었고, 결국 짊어진 규모를 위해 엔지니어링된 적이 없으며, 목적이 바뀌었을 때조차 다시 이름이 붙은 적이 없습니다.

McCaleb의 다섯 달 (2010.07-2011.02)

2010년 7월 18일, McCaleb은 MTGOX 도메인을 비트코인 거래소로 재출시했습니다. 그 시점 비트코인은 만 1년이 갓 넘은 상태였습니다. 네트워크 전체 해시레이트는 노트북 한 대로도 블록 전체를 채굴할 수 있을 만큼 작았습니다. McCaleb은 코드를 직접 작성했고, 고객 응대도 직접 했으며, 필요한 최소 기능만 노출했습니다 — USD 입금, BTC 매수, BTC 매도, USD 출금. 월 거래량은 7월의 사실상 0에서 11월의 약 20만 달러로 증가했습니다.

그 다섯 달 내내 McCaleb은 사이트 전체를 혼자 운영했습니다. 후일의 Stellar 블로그 인터뷰에서 그는 자신의 일과를 거칠게 — '하루에 약 3시간은 고객 응대 이메일, 나머지는 코딩·버그 수정·DoS 공격 방어'로 묘사했습니다. 이 시점의 Mt.Gox는 결코 상업 조직이 아니었습니다 — 그것은 프로그래머의 사이드 프로젝트였습니다. 이 단일 사실이 이후 3년에 걸친 회사 코드베이스 전체의 형태를 결정합니다 — 로깅도 없고 감사 로그도 없으며 핵심 경로의 트랜잭션 보호도 없고 모든 정산은 McCaleb이 프로덕션 DB에 대해 PHP 스크립트를 손으로 돌려 처리했습니다.

McCaleb은 2010년 후반에 빠지기로 결심합니다. 본인 설명은 — 비트코인이 뜬다면 한 사람이 감당할 수 없고, 뜨지 않는다면 더 이상 시간을 쓰고 싶지 않다는 것이었습니다. 2011년 2월, 그는 Bitcointalk 포럼에 사이트를 사고 싶은 사람이 있느냐는 글을 올립니다.

2011년 6월 19일 — 최초의 대규모 침해

이 사건은 영어권 Mt.Gox 사후 분석 대부분에서 각주로 처리되는데, 제 보기에 그 처리야말로 업계가 이 배에 대해 지금까지 반복하고 있는 핵심적 해석의 오류입니다. 2011년 6월 19일 침해 사건이 Mt.Gox 재난의 실제 시작점입니다. 그 뒤의 모든 일은 그냥 잔해 위로 물이 차오르는 과정입니다.

일어난 일: 2011년 6월의 일요일 오후, Mt.Gox 관리자 자격 증명이 공개적으로 유출되었습니다. 그 자격은 내부 데이터베이스에 대한 직접 쓰기 권한을 줬습니다. 공격자는 거칠게 움직였습니다 — 자기 계정에 약 75만 개의 새로 만들어진 '유령(phantom)' BTC를 직접 데이터베이스에서 입금 처리했고, 당시 가격으로 명목가치 약 875만 달러였습니다. 그러고 나서 그 유령 코인으로 플랫폼에 매도 주문을 냈습니다.

Mt.Gox의 매칭 엔진은 내부 잔액 원장 기준으로 체결했지 잔액이 실제 체인 측 비트코인에 대응하는지를 검증하지 않았기 때문에, 매도 주문은 그대로 체결되었습니다. 호가창의 깊이는 그 물량을 흡수하기에 한참 부족했습니다. BTC 가격이 17달러에서 0.01달러까지 몇 분 만에 떨어졌습니다. 일부 낮은 매수 잔존 주문이 1센트에 BTC를 가져갔습니다. 그날 밤은 Bitcointalk에서 'the great crash'로 알려지게 됩니다.

Mt.Gox의 대응은 롤백이었습니다 — 정상 시세 아래로 체결된 거래를 되돌려 호가창을 공격 전 상태로 복원했습니다. 하지만 롤백이 고치지 못한 세 가지 구조적 문제가 남았습니다.

• 공격자가 롤백 이전에 일부 현금화된 BTC를 체인 위로 옮긴 뒤였습니다. 이후의 온체인 분석은 실제 물리적 손실을 약 2,000 BTC로 추정했습니다.
• 데이터베이스에 직접 쓰기가 일어났습니다. 롤백은 매칭 엔진에 적용되었지 데이터베이스에는 적용되지 않았습니다. 이는 그날부터 Mt.Gox의 내부 회계가 실제 체인 잔액과 보장된 대응 관계를 가진 적이 한 번도 없게 되었다는 의미입니다. 대조 방법은 존재했지만 Mt.Gox는 그 도구를 만든 적이 없습니다.
• 침해 시점에 McCaleb은 이미 프로젝트를 Karpelès에게 매각한 상태였습니다. Karpelès가 이미 3개월간 운영 중이었고 위기 대응은 거의 전적으로 그의 손에서 이루어졌습니다.

몇 년 뒤 Wizsec의 2017년 보고서를 읽으면서 제 머리에 박힌 한 줄이 있습니다. "이 사건 이후, Mt.Gox의 회계 시스템은 다시는 현실에 정산된 적이 없습니다. 이후의 모든 도난은 본질적으로 이미 혼란스러운 장부 위에서 계속된 혼란이었습니다." 그 문장이 — 제 생각에는 — 이 배의 정당한 묘비명입니다.

Karpelès의 인수 (2011.10)

2011년 3월, McCaleb은 도쿄에 살던 프랑스인 프로그래머 Mark Karpelès에게 Mt.Gox를 매각합니다. 매각 조건은 특이했습니다 — 소액의 고정 선급금에 향후 6개월간 매출의 일정 비율을 더하는 구조였습니다. 이 계약은 2013년 소송에서 다시 표면화됩니다 — Karpelès가 McCaleb에게 매출 분배분을 끝까지 다 지급하지 않았기 때문입니다. McCaleb 본인은 이후 Ripple 공동창업, 그 뒤 Stellar 창업으로 이어졌고, 2013년 이후 Mt.Gox와의 직접 연결은 없습니다.

2011년 10월, Karpelès는 100% 지분 인수를 완료합니다. 그 시점 Mt.Gox는 이미 세계 최대 비트코인 거래소였습니다. 월 거래량이 처음으로 100만 달러를 넘었습니다. Karpelès는 사업을 일본 주식회사로 법인화하고 시부야에 사무실을 임차했습니다. 직원 수는 30명을 넘은 적이 없습니다. 그러나 2013년 회사 시장 평가가 1억 달러를 넘었을 때조차 독립 CFO도, 컴플라이언스 책임자도, 전담 보안 엔지니어도 없었습니다. CTO 역할은 Karpelès가 자신이 겸했습니다. 코드베이스는 핵심 경로의 트랜잭션 보호가 없는 모놀리식 PHP였고, 기본적 소스 관리(git)는 2012년이 되어서야 사내 도입되었습니다.

"제가 Mt.Gox를 인수했을 때, 코드베이스는 3년간 과식한 아이 같았습니다. 매주 세 배씩 커지는데, 뼈는 그 속도를 따라가지 못하고 있었습니다."

Mark Karpelès, 2017년 도쿄지방재판소 증언

이 인용은 회고 기사에 자주 등장합니다. 재판 기록 전문을 다 읽고 난 제 자신의 독해는 — 이 비유가 가는 거기까지는 정직하다는 것입니다(뼈가 따라가지 못한 건 사실입니다). 다만 이 표현은 2011년에서 2013년 사이 Karpelès가 구조 문제를 고칠 시간·돈·명시적 경고를 모두 갖고 있었다는 부분을 누락합니다. 그는 고치지 않았고, 그 누락이 그 뒤에 일어난 모든 일의 근본 원인입니다.

제2장 · Mt.Gox는 어떻게 글로벌 BTC 거래량의 70%를 삼켰나 (2011-2013)

2011-2013년 사이 Mt.Gox의 시장 지배는 서로를 강화하는 세 요인 위에 있었습니다.

1. 선점 우위. Mt.Gox는 2010년 7월에 출시되었고, BTC-e나 Bitstamp보다 정확히 한 해 빨랐습니다. 초기 비트코인의 작은 커뮤니티에서 사용자는 플랫폼 자격이 아니라 평판으로 계정을 식별했습니다. 2011년 초까지 Mt.Gox는 사실상 '이름이 알려진 유일한 거점'이었습니다. 다른 거래소는 존재했지만 비교 가능한 사용자 신뢰는 없었습니다.
2. 미 달러 법화 온램프. 초기 거래소 대부분은 가상자산 대 가상자산만 지원했습니다. USD 전신송금 또는 미국 결제 프로세서를 쓸 수 있는 능력은 — 전 세계적으로 두세 곳뿐이었습니다. Mt.Gox는 Dwolla와 Liberty Reserve라는 미국 결제 네트워크에 연결되었고, 이 둘이 USD 법화 능력의 척추를 형성했습니다. 이 단일 기술 결정이 3년에 걸친 시장 지배의 토대였습니다.
3. 가격 인덱스 지위. 2012-2013년 내내 '비트코인 가격'에 관한 금융 미디어 보도의 대부분은 기본값으로 Mt.Gox를 인용하고 있었습니다. 이 사실은 자기 강화 루프에 들어갑니다 — Mt.Gox의 깊은 호가창이 더 신뢰할 만한 가격 형성을 낳고, 이것이 더 많은 인용을 끌어오고, 다시 더 많은 흐름을 끌어옵니다. CoinDesk가 2013년 말 BPI(Bitcoin Price Index)를 출시하기 전까지, 합리적 BTC 기준 가격의 70% 이상은 사실상 Mt.Gox에서 나왔습니다.

세 요인은 복리로 굴렀습니다. 선점이 마켓 메이커와 큰 트레이더를 끌어왔습니다. 마켓 메이커가 유동성을 만들었습니다. 유동성이 '표준 가격'을 만들었습니다. 금융 미디어가 그 가격을 인용했습니다. 새 사용자는 '표준 가격의 거점'이 더 안전하게 느껴져서 Mt.Gox에 합류했습니다. 2011-2013 사이 이 루프는 너무 뜨겁게 돌아서 정점에 Mt.Gox는 글로벌 BTC 현물 거래량의 80%에 가깝게 차지했습니다. 비교를 위해 — Binance조차 2017-2022년 상승기 어느 한 달도 50% 점유를 넘기지 못했고 FTX의 정점은 약 12%였습니다. Mt.Gox의 집중도는 그 이전에도 이후에도 없습니다.

그 지배의 대가는 — 당시에는 누구도 알아차리지 못했지만 — Mt.Gox의 내부 조직 역량이 시장 지위를 따라가지 못했다는 사실이었습니다. 2011-2013 사이 눈에 보이는 증상은 가끔의 사이트 중단과 출금 지연의 느린 표류였습니다. 사용자와 관찰자는 이를 '큰 플랫폼의 성장통'으로 일축했습니다. 성장통이 아니었습니다. 훨씬 더 큰 누출의 조기 신호였습니다.

2013년 4월 10일은 Mt.Gox가 주류 금융 미디어 헤드라인에 처음 오른 날입니다. BTC가 이 플랫폼에서 266달러를 찍었습니다 — 주류 관심을 향한 첫 시도였습니다. 같은 날, Mt.Gox가 주문 부하에 무너져 약 4시간 오프라인이 되었습니다. CNBC, Bloomberg, BBC 모두 'Mt.Gox 다운'을 헤드라인으로 띄웠습니다. '이 거점은 너무 중요해서 망하면 안 된다'는 프레임으로 처음 등장한 순간이었습니다. 그날 이후, Karpelès는 회사 역사상 처음으로 전담 엔지니어 두 명을 채용합니다.

그러나 4월 10일의 다운은 더 깊은 문제도 드러냈습니다. Mt.Gox가 복귀했을 때, 운영팀은 약 12분간의 호가창 데이터가 손실되었음을 발견했습니다. 일부 체결된 거래는 영구 저장소에 기록되지 않았습니다. Karpelès는 충돌 직전의 마지막 전체 스냅샷에서 복원하는 방식으로 대응했습니다 — 2011년 6월 관리자 키 침해 대응과 동일했습니다. '뭔가 깨지면 롤백한다'는 이 엔지니어링 문화는 Mt.Gox 코드베이스의 가장 이른, 가장 치명적인 유전적 형질이었습니다. 이것이 그 뒤의 모든 정산 실패를 어떤 단일 기술 결정보다 잘 설명합니다.

2013년 5월부터, 또 다른 이상한 패턴이 자리 잡았습니다 — USD 출금이 극적으로 느려졌습니다. 5월 이전에 Dwolla 출금은 영업일 2-3일이 걸렸습니다. 5월 이후에는 같은 출금이 4-8주가 걸렸습니다. Mt.Gox는 처음에는 이를 '은행 컴플라이언스 검토'로 포장했습니다. 사후에 보면 실제 원인은 — 미국 국토안보부(DHS)가 Mt.Gox의 MSB 등록 문제를 조용히 조사하기 시작했다는 것이었고, 이는 5월 14일 공개됩니다(다음 장 참조).

2013년 후반과 2014년 초반 내내 '느린 출금'은 Mt.Gox의 정상 상태가 되었습니다. Bitcointalk 스레드는 '내 출금이 아직 보류 상태인데 어떻게 해야 하느냐'고 묻는 사용자로 채워졌습니다. 이것이 침몰의 가장 이른 공개적 신호였지만 — 당시 거의 누구도 정확히 읽어내지 못했습니다. 대부분의 독자는 지연을 관료주의와 은행의 주저함이 섞인 것으로 돌렸습니다. 누구도 표면 증상을 더 깊은 구조적 실패에 연결하지 못했습니다.

제3장 · 균열이 시작된 자리 (2011-2013)

Mt.Gox가 실제로 언제부터 고객 자금을 잃기 시작했는가의 문제는 지금도 형식적으로 다툼이 있습니다. 파산관재인 노부아키 코바야시 변호사의 공식 보고서는 — 누출이 2011년에 시작해 3년간 연속되었다고 결론지었습니다. Karpelès는 재판 증언과 이후 인터뷰에서 — 사라진 BTC의 대부분이 자기 모르는 사이에 빠져나갔다고 주장해 왔습니다. 저는 트러스티의 설명을 강하게 지지합니다. 이유는 아래와 같습니다.

2011년 관리자 키 절도 (약 3,000 BTC)

2011년 3월, Mt.Gox 관리자 계정의 자격이 공개 채널에 의도치 않게 노출됩니다. 공격자는 그 계정을 이용해 Mt.Gox가 통제하는 지갑에서 약 2,643 BTC를 옮겼습니다. 당시 가격으로 100만 달러를 밑도는 손실이었기 때문에 큰 관심을 끌지 못했습니다. 그러나 함의는 이미 분명했습니다 — Mt.Gox의 핫월렛 개인키 수탁이 구조적으로 약하다는 것이었습니다. Karpelès는 이후 블로그에서 접근 통제를 강화했다고 주장했습니다. 그것이 회사가 발행한 처음이자 마지막의 공개 보안 커뮤니케이션이었습니다.

Wizsec의 2017년 보고서가 수행한 온체인 재구성에 따르면, 이 2011년 사건에서 2013년 중반까지 Mt.Gox의 핫월렛은 길고 꾸준한 소액 누출 패턴을 겪었습니다. 여기서 5 BTC, 저기서 30 BTC, 매일 단위로. 누구도 알아차리지 못한 이유는 — 회사의 정산이 총 잔액만 체크했지 거래별 흐름을 체크한 적이 없기 때문입니다. '정상 상태 스키밍(steady-state skimming)' 시그니처는 체인 위에 뚜렷합니다 — 공격자들은 하루 5~30 BTC를 빼내면 — 총 잔액이 양수로 유지되는 한 — 어떤 내부 알람도 울리지 않는다는 사실을 알고 있었습니다.

Wizsec 보고서에는 제가 처음 읽었을 때 약 30초간 정신을 차리고 다시 읽어야 했던 데이터 포인트가 하나 있습니다 — 2011년 9월부터 2013년 5월 사이, Mt.Gox의 '내부 BTC 회계 잔액'과 '실제 체인상 지갑 잔액'의 격차가 0 BTC에서 약 630,000 BTC로 벌어졌습니다. 이는 2013년 5월 어느 하루, Mt.Gox 내부 데이터베이스를 열면 플랫폼이 고객을 위해 약 75만 BTC를 보유 중이라고 표시되지만 실제 체인상 지갑을 열면 약 12만 BTC만 보이는 상태였다는 의미입니다. 63만 BTC의 격차가 2년에 걸쳐, 외부도 내부도 누구도 인지하지 못한 채 천천히 새고 있었습니다.

Karpelès는 일관되게 자신이 2014년 1월에야 이 격차를 인지했다고 증언했습니다. Wizsec과 트러스티 사무실 모두 이 진술을 거부합니다. 그들의 추론은 — 2013년 4월 이후 1년 내내 Mt.Gox는 특정한 실패 모드를 반복적으로 보였다는 것입니다 — 'BTC 출금이 실패하고 자동으로 재시도되는' 이상. 이런 종류의 이상을 CTO 겸 CEO가 1년 내내 백엔드 데이터를 보면서 놓쳤다는 것은 — 합리적으로 받아들이기 어렵습니다.

2013년 미국 DHS 압수

2013년 5월 14일, 미국 국토안보부(DHS)는 Mt.Gox 미국 자회사 소유 Dwolla 계정 두 개를 압수해 약 290만 달러를 동결시켰습니다. 법적 근거는 FinCEN에 화폐서비스업(MSB) 등록을 하지 않았다는 사실이었습니다. 이틀 뒤 DHS는 추가로 220만 달러를 압수했습니다. Mt.Gox는 어떤 전통적 위반도 저지르지 않았지만 — MSB 등록을 누락했고, 그 결과는 조용히 치명적인 컴플라이언스 실패였습니다. 이 사건은 세 가지의 더 심각한 조직 문제를 드러냈습니다.

• 미국 자회사는 사실상 페이퍼였고 등록 영업소조차 없었습니다.
• 컴플라이언스 책임자 자리는 1년 넘게 공석이었습니다. 누구도 채용된 적이 없습니다.
• 대부분의 USD 입금 흐름은 회사 은행이 아니라 개인 PayPal 계정을 거치고 있었습니다.

당시 대부분의 관찰자는 DHS 압수를 작은 사건으로 다뤘습니다. 동결 금액이 Mt.Gox 헤드라인 거래량 기준으로 작았기 때문입니다. 10년이 지난 시점에서 보면, 이것은 그 해 회사가 받은 최초의 공식 경고 신호입니다. 그것은 내부 성찰도, 컴플라이언스 채용도, 구조 개편도 촉발하지 않았습니다. 그 뒤의 모든 일이 이 기초 위에 앉아 있습니다.

같은 시기의 또 다른 사건 하나가 영어권 회고에서 자주 누락됩니다 — 2013년 6월 CoinLab이 Mt.Gox를 7,500만 달러에 제소했습니다. 법적 주장은 Mt.Gox가 2012년 '미국 시장 독점 대리' 계약을 위반했다는 것이었습니다. 이 사건은 2013년부터 2025년까지 최종 판결 없이 계속 진행되고 있고, Mt.Gox 파산재단에 대해 미해결로 남은 가장 큰 청구입니다. CoinLab의 법적 의의는 금액만이 아니라 관할입니다 — 2013년 Mt.Gox를 미국 연방법원 시스템에 끌고 들어왔고, 이것이 부분적으로 Karpelès가 2014년 이후 미국에 갈 수 없게 된 이유이며, 결국 미국이 아니라 일본에서 재판을 받게 된 이유입니다(미국이었다면 선고 노출이 훨씬 더 가혹했을 것입니다).

3년에 걸친 65만 BTC 출혈

Wizsec은 2017년 7월 "Breaking Open the MtGox Case, part 2"를 발표했습니다. 방법론은 그들이 '온체인 역행 잔액 정산(on-chain retrograde balance reconciliation)'이라 부른 것이었습니다 — 공개적으로 알려진 Mt.Gox 통제 지갑의 월별 BTC 잔액을 역사적으로 재구성한 뒤, 플랫폼 내부 회계가 함의했을 잔액과 체인 측 현실을 비교했습니다. 결과는 한 장의 차트로 정리됩니다 — 가로축은 2011년 1월부터 2014년 3월까지; 세로축은 실제 체인상 보유와 회계상 함의 보유의 격차.

그 차트가 보여주는 궤적은 명확합니다.

• 2011년 6월 – 10월: 격차가 0에서 약 8만 BTC로 급격히 벌어집니다. 6월 19일 침해와 그 직후 몇 달간의 연속 절도에 해당합니다.
• 2011년 10월 – 2012년 6월: 천천히 8만에서 약 16만 BTC로. Karpelès 인수 첫 몇 달의 '만성 출혈' 시기.
• 2012년 6월 – 2013년 3월: 급가속, 16만에서 약 48만 BTC로. 이 시기는 정확히 BTC 가격이 5달러에서 100달러까지 올라간 시기와 겹칩니다. 가격이 오를수록 절도 속도가 빨라졌다는 사실은 처음 읽으면 반직관적입니다. Wizsec의 해석은 — 공격자들이 BTC 가격 상승을 알았고, 코인 한 개를 훔쳐도 더 많은 USD로 환전된다는 점을 알고서 누출 속도를 공격적으로 확대했다는 것입니다.
• 2013년 3월 – 2014년 2월: 다시 느려지지만 꾸준히 확대, 48만에서 약 63만 BTC. 이 시기는 플랫폼에서 보이는 '출금 지연'과 겹칩니다. 마지막 구간에서 Karpelès는 사실상 폰지를 운영하고 있었습니다 — 기존 출금 요청을 새로운 입금으로 메우고 있었습니다. 기본 준비금이 더 이상 장부와 일치하지 않았기 때문입니다.

Wizsec PDF는 공개되어 있습니다. Mt.Gox를 포렌식 수준에서 이해하고 싶은 분이라면 — 진심으로 그 차트를 30초만 들여다보시기를 권합니다. 어떤 산문도 가지지 못한 명제 하나를 한 장의 이미지가 전달합니다 — 이 배는 2014년 2월에 가라앉은 것이 아닙니다. 2011년 6월에 새기 시작해 32개월간 출혈한 것입니다.

사라진 65만 BTC가 어디로 갔는지에 대해 Wizsec의 클러스터 분석은 몇 개의 수령 주소 그룹을 식별했습니다. 그중 가장 큰 — 약 30만 BTC에 해당하는 — 것은 결국 BTC-e가 통제하는 주소로 매핑됩니다. BTC-e는 2011-2017년 활동한 러시아권 거래소로, 불가리아에 등록되었고 KYC가 사실상 없었으며 그 시대 자금세탁과 다크마켓 흐름의 알려진 경유지였습니다. Wizsec의 결론은 — Mt.Gox 도난 BTC의 대부분이 BTC-e를 거쳐 세탁되어 러시아 은행 레일을 통해 법화로 환전되었다는 것이었습니다. 그 결론이 결국 BTC-e의 핵심 운영자 Alexander Vinnik을 2017년 7월 그리스 감옥에 보내게 됩니다(제8장에서 전체 조사 과정을 다룹니다).

제4장 · Transaction Malleability — 알리바이 버그

이 장은 따로 떼어 다룰 필요가 있습니다 — Mt.Gox가 2014년 2월 7일 출금을 정지하면서 발표한 공개 성명이 모든 문제를 transaction malleability라는 비트코인 프로토콜 레벨 버그에 돌렸기 때문입니다. 그 설명은 적어도 2주 동안 기술 커뮤니티 대부분을 혼란스럽게 만들었습니다. 2014년 2월의 Bitcointalk 스레드를 거슬러 올라가 보면 'Mt.Gox 편을 든' 기술 분석이 상당히 많이 남아 있습니다. malleability가 한 일과 하지 않은 일의 실제 모습은 더 복잡합니다.

Transaction malleability란 무엇인가

모든 비트코인 트랜잭션은 직렬화된 트랜잭션 데이터의 SHA-256 해시로 계산되는 고유 식별자(txid)를 가집니다. 동일한 트랜잭션 두 개는 동일한 txid를 가져야 합니다.

하지만 2010-2013 사이 비트코인 프로토콜은 — 동일 트랜잭션에 대해 여러 개의 유효한 서명 인코딩을 허용했습니다. 즉, 동일한 효과를 가진 트랜잭션이 여러 개의 다르지만 똑같이 유효한 DER 인코딩 서명 바이트 시퀀스로 표현될 수 있었습니다. 인코딩이 달라지면 전체 바이트 시퀀스가 달라지고, 따라서 SHA-256 해시가 달라지고, 따라서 논리적으로 동일한 트랜잭션에 대해 다른 txid가 생성됩니다.

이 함의는 다음과 같습니다.

• 사용자 A가 거래소 B로 1 BTC를 보냅니다. 원래 txid는 가령 abc123입니다.
• 제3자가 멤풀을 감시하다가 동일 트랜잭션을 다른 — 하지만 유효한 — DER 인코딩으로 재방송합니다. 새 txid는 가령 def456입니다.
• 때때로 채굴자가 def456을 먼저 집어 블록에 포함시킵니다. abc123은 이제 무효입니다. 그 입력이 이미 소비되었기 때문입니다.
• 사용자 A가 거래소에 묻습니다 — "내 송금 도착했나요?" 거래소 코드는 순진하게 abc123을 체인에서 찾습니다. abc123은 보이지 않습니다. 거래소는 입금을 실패로 처리합니다.

이 버그는 실재했습니다. 비트코인 커뮤니티는 2011년부터 이 문제를 논의하고 있었습니다. 할당된 CVE는 CVE-2014-2336이고, 2014년 2월에 공식 등록되었습니다.

Mt.Gox가 어떻게 이를 방패로 무기화했나

Mt.Gox의 2014년 2월 7일 공개 성명은 본질적으로 이렇게 말했습니다 — "우리는 malleability 공격을 탐지했다. 공격자는 우리의 BTC 출금 txid를 수정했고, 우리는 출금이 실패한 것으로 인식해 재시도했다. 공격자는 두 배의 BTC를 받았다. 플랫폼은 패치 동안 출금을 정지한다."

설명은 기술적으로 가능합니다. 다만 누락된 65만 BTC 전체에 대한 설명으로서는 세 가지 치명적 문제가 있습니다.

1. 제대로 된 출금 시스템은 특정 txid가 도착했는지가 아니라 UTXO가 소비되었는지를 확인합니다. UTXO는 malleate되지 않습니다 — 한 번 소비되면 끝입니다. Mt.Gox 코드가 이 확인을 하지 않았다는 사실 자체가 큰 엔지니어링 실패입니다. 동일 시기 같은 malleability 공격을 받은 Bitstamp나 BTC-e는 — 시스템이 올바르게 설계되어 있었기 때문에 — 손실을 수백 BTC 수준으로 제한했습니다.
2. malleability 공격의 성공 창이 짧습니다. 트랜잭션 방송부터 컨펌까지는 보통 10분 정도입니다. 65만 BTC를 malleability만으로 빼내려면 공격자가 수만 번 공격을 실행해야 합니다. 그 정도 시도의 체인 측 지문은 거대하고 명백할 것입니다. 데이터에 그런 지문은 존재하지 않습니다.
3. Wizsec의 2017년 재구성은 malleability의 전체 손실 점유율을 5% 미만으로 직접 정량화했습니다. 구체적 수치는 약 1,886 BTC(당시 가격으로 약 100만 달러)였습니다. 나머지 645,000+ BTC의 손실은 어떤 합리적 모델로도 malleability로 설명되지 않습니다.

요약하면 — malleability 버그는 실재했고, Mt.Gox에 대해 악용되었으며, 약 1,886 BTC의 비용을 발생시켰습니다. 전체 Mt.Gox 손실의 비율로는 0.3% 미만입니다. Karpelès가 malleability를 공개 설명으로 동원한 것은 — 제 독해로는 — 실재하지만 아주 작은 기술 문제를 모든 것의 설명으로 부풀려, 2011년 이래 회계 장부가 체인 측 현실과 일치한 적이 없다는 사실을 인정하지 않으려 한 시도입니다.

커뮤니티 반응과 결국의 프로토콜 수정

malleability는 2014년 비트코인 코어 팀을 집중적 프로토콜 수정 작업으로 몰아넣었습니다. 주요 두 경로가 등장했습니다.

• BIP62 (2014 제안) — 서명 인코딩 형식을 제한해 malleability를 제거하려 했습니다. BIP62는 결국 철회되었는데 — 제3자 malleability만 다룰 수 있고 '발신자 주도' malleability는 다룰 수 없었기 때문입니다.
• SegWit (2017년 8월 활성화) — 서명 데이터를 메인 트랜잭션 본문에서 분리('segregated witness')해 서명 해시를 txid 계산에서 완전히 제거했습니다. 이것이 완전한 수정이며, 비트코인 역사상 가장 영향력 있는 프로토콜 업그레이드 중 하나로 남아 있습니다. Mt.Gox 붕괴가 SegWit의 정치적 동력을 간접적으로 이끌었습니다.

그래서 Mt.Gox는 업계에 예상치 못한 긍정적 유산 하나를 남겼습니다 — 그 침몰이 SegWit의 정치적 지렛대가 되었습니다. 2017년 8월 BCH/BTC 분기 — 가상자산 거버넌스의 형성적 내전 중 하나 — 는 SegWit을 핵심 논쟁점으로 가졌습니다. BTC 측이 이겼습니다. 분기 직후 며칠간 'Mt.Gox'라는 단어는 — malleability가 왜 프로토콜 수준에서 고쳐져야 했는지의 가장 강력한 사례로 — 담론에 다시 등장했습니다.

제5장 · 침몰한 그 한 주 (2014.02)

2014년 2월 7일, Mt.Gox는 모든 BTC 출금을 갑자기 정지시켰습니다. 공식 설명은 transaction malleability 버그를 인용했습니다 — "공격자가 트랜잭션 내용은 그대로 두고 ID만 바꿔, 사용자가 출금 실패로 오인해 재제출하도록 유도한 비트코인 프로토콜 레벨 취약점."

이 프레임은 처음에는 기술 커뮤니티의 상당 부분에 의해 흡수되었습니다 — malleability가 수년간 논의된 실재하는 버그였기 때문입니다. 문제는 — 같은 창에서 같은 버그를 마주한 다른 모든 주요 거래소가 다르게 대응했다는 것입니다. Bitstamp는 며칠 정지한 뒤 패치를 배포하고 정상 운영을 재개했습니다. Mt.Gox는 정지했고, 다시는 재개되지 않았습니다.

"오늘 우리는 모든 고객, 비트코인 커뮤니티, 그리고 세상 전체에 — 가능한 가장 깊은 후회를 담아 — 사과드립니다."

Mark Karpelès, 도쿄 기자회견, 2014년 2월 28일

1시간 17분 분량의 기자회견 전체 영상은 지금도 YouTube에서 볼 수 있습니다. 지난 10년 사이 저는 그것을 세 번 봤습니다. 제 머리에 남은 장면은 절이 아닙니다 — 방 뒤편에서 한 프랑스 기자가 일어나 모호함 없는 경멸 어조로 프랑스어로 Karpelès에게 질문한 그 순간입니다. 거의 모든 영어권 회고가 이 장면을 편집해 빼놓습니다. 한 번 보실 가치가 있는 장면입니다.

같은 주에 일어난 다른 일들

Mt.Gox 침몰의 그 주는 고립된 사건이 아니었습니다. 가상자산 업계가 — 제가 보기에는 — 첫 번째 진짜 '신뢰 위기'를 그 며칠간 겪었습니다. 영어권 회고에서 자주 누락되는 사건 몇 가지:

• 2월 17일 — 시부야 사무실 농성. 건물 앞에 처음 선 시위자는 영국 프로그래머 Kolin Burges였습니다. 그는 본인 비용으로 런던에서 도쿄로 날아와 'Mt.Gox: where is our money'라고 손으로 쓴 팻말을 들었습니다. 호주·캐나다·미국 사용자들이 뒤따랐습니다. 이들 중 일부는 2010년대 후반까지 비공식 Mt.Gox 채권자 상호부조 그룹의 일원으로 남아 Twitter에서 서로의 청구 상태를 추적했습니다.
• 2월 20일 — OKCoin Korea가 일시적으로 BTC 입금 중단. 한국 거래소들은 Mt.Gox가 곧 무너질 것임을 판단했고, Mt.Gox 사용자가 가치 없는 '내부 BTC 잔액'을 들고 한국 거래소로 보내 유동성 있는 시장에 매도하려 들 가능성을 우려했습니다. 이것은 가상자산 거래소가 다른 거래소의 부실 잔액에 대해 명시적으로 산업 보호 '방화벽'을 작동시킨 최초의 알려진 사례입니다.
• 2월 23일 — 'Crisis Strategy Draft' 유출. 익명의 사용자가 11페이지짜리 Mt.Gox 내부 문서를 /r/Bitcoin에 올렸습니다. 그 문서는 "현재 부족분: 744,408 BTC"를 명시하면서 비상 제안을 나열했는데 — "Gox라는 새 법인으로 리브랜딩"과 "채권자 IOU 토큰 발행" 같은 내용이었습니다. Karpelès는 후일 재판 증언에서 문서의 진위를 확인하면서 — 이것은 "비상 토론 초안이지 최종 계획이 아니었다"고 성격 규정했습니다.
• 2월 25일 — Mt.Gox DNS 이상. 사이트가 완전히 꺼지기 몇 시간 전, mtgox.com의 DNS 해석이 지역별로 일관되지 않게 작동하기 시작했습니다. 이후 조사로 Karpelès 본인이 모든 도메인을 'Dear MtGox Customers'라는 제목의 4문단짜리 정적 영어 페이지로 가리키도록 DNS 레코드를 직접 변경했음이 확인되었습니다. 이 페이지는 일본어판이 없었습니다 — 이것은 일본 채권자 집단소송에서 구체적 쟁점이 되었습니다. Mt.Gox 사용자의 약 80%는 영어 원어민이 아니었기 때문입니다.

2014년 3월 20일 — 의문스러운 '20만 BTC 발견'

2014년 3월 20일, Karpelès는 "오래된 형식의 지갑에서" 199,999.99 BTC를 찾아냈다는 보도자료를 냈습니다. 이 사건은 — 제 독해로는 — Mt.Gox 전체 이야기에서 가장 덜 설명된 단일 사건입니다.

이 발표의 문제는 여러 층입니다.

1. 타이밍이 의심스럽습니다. '회수된' BTC는 파산 신청 정확히 21일 뒤에 — 첫 채권자 회의 직전에 — 나타났습니다. 당시 다수의 사용자가 이를 — Karpelès가 선의의 외관을 극대화할 수 있는 순간에 사적으로 보유 중이던 자금을 만들어낸 것으로 — 읽었습니다.
2. 금액이 너무 깔끔합니다. 199,999.99 — 소수 둘째자리까지 정밀한 — 이 숫자는 잊고 있던 옛 지갑에서 찾아낸 잔액의 모양이 아닙니다. 그 둥글기는 계산된 숫자를 시사합니다.
3. Karpelès의 설명이 모호합니다. 2017년 재판 증언에서 그는 그 지갑이 "암호화된 2011년대 콜드 저장소로, 보관해 두고 잊었던 것"이라고 진술했습니다. 그러나 그는 그 지갑이 왜 2014년 2월 자산 감사에 나타나지 않았는지 설명할 수 없었습니다. 트러스티 사무실도 — 수년간 후속 조사에도 — 완전한 설명을 만들어낸 적이 없습니다.

진실이 무엇이든, 그 20만 BTC는 이후 모든 채권자 분배의 구조적 자금 풀이 되었습니다. 그 회수가 없었다면 채권자들은 거의 아무것도 받지 못했을 것입니다. 그래서 이 사건은 — 윤리적으로는 매우 의심스럽지만, 물질적으로는 채권자들이 변제받을 수 있게 된 이유입니다. 가상자산이 이 정도 밀도로 만들어내는 아이러니는 흔치 않습니다.

제6장 · 한국 초기 BTC 보유자의 시선 · 김치 프리미엄의 기원

이 장은 한국어판에만 있습니다. 영어판과 중국어판 어디에도 같은 분량으로 다루지 않은 부분 — Mt.Gox 사건이 한국 가상자산 시장의 형성기에 어떻게 작용했는가 — 를 따로 정리했습니다. 일본 트러스티는 채권자를 국적별로 공개하지 않기 때문에 한국인 피해자의 정확한 명수와 손실 규모는 공개 문헌으로 확정할 수 없습니다. 그러나 시기적 흔적은 충분히 남아 있고, 그 흔적이 그리는 그림은 — 김치 프리미엄이라는 단어가 왜 정확히 이 시기에 한국어 어휘로 자리잡았는지를 — 거의 그대로 설명합니다.

2011-2013 한국의 초기 BTC 풍경

한국에서 비트코인이 처음 진지하게 논의되기 시작한 자리는 — 거래소가 아니라 — 인터넷 커뮤니티였습니다. Bitcointalk 한국어 게시판은 2011년 후반부터 활성화되었고, DC Inside의 '비트코인 갤러리'(나중에 '가상화폐 갤러리'로 개명)는 2013년에 본격적으로 트래픽을 받기 시작했습니다. 한국의 초기 BTC 보유자들은 — 국내에 신뢰할 만한 거래소가 거의 없었기 때문에 — 해외 거래소에 의존했습니다. 그 시기에 '해외 거래소'는 사실상 Mt.Gox와 BTC-e 두 곳을 의미했고, USD 또는 JPY로 BTC를 사려면 Mt.Gox가 거의 유일한 선택지였습니다.

2013년 후반 BTC 가격이 200달러를 처음 넘었을 때, 한국 커뮤니티에 두 종류의 글이 동시에 늘었습니다. 하나는 '나도 들어갈까요'라는 신규 진입자의 질문이었고, 다른 하나는 'Mt.Gox에서 출금이 안 됩니다'라는 보유자의 불만이었습니다. 후자는 2013년 5월부터 천천히 증가해 2014년 1월에는 한국어 게시판의 일주일 단위 정기 화제로 자리잡았습니다. 당시의 한국어 게시판 글 — 2013-2014년 사이 Bitcointalk 한국어판과 DC 비트코인 갤러리에 남은 흔적 — 은 그 시기 Mt.Gox의 한국 사용자 분포가 결코 작지 않았음을 시사합니다.

일본 트러스티가 국적별 공개를 하지 않기 때문에 정확한 한국인 피해자 명수는 공개 자료로 확정할 수 없습니다. 영어권 분석에서 거론되는 거친 추정(15-30%의 '동아시아 사용자' 비율 중 한국인이 차지하는 몫)을 그대로 따를 만한 근거도 부족합니다. 다만 사후의 정황 — Bitcointalk 한국어판에 남은 'Mt.Gox 채권자 모임' 스레드가 2014-2019 사이 1,200개 이상의 댓글로 이어졌고, 일부 회원이 2024년 7월 첫 분배 시점에 본인의 BTC 회수를 인증한 사례 — 는 한국인 채권자가 결코 한 자리 숫자가 아니라는 점만큼은 분명히 말해 줍니다.

2014년 2월 ~ 2015년 — Mt.Gox가 만들어낸 한국의 진공

Mt.Gox가 가라앉은 직후의 한국 가상자산 시장은 — 한 단어로 묘사하면 — 진공이었습니다. 해외에서 BTC를 살 수 있는 가장 큰 거점이 사라졌고, 국내에서는 아직 신뢰할 만한 대안이 자라기 전이었습니다. 코빗(Korbit)이 2013년 8월에 출범해 있었지만 거래량은 미미했고, 코인플러그·코빗 외에는 본격적 거래소가 없었습니다. 2014년 한 해 동안 — Mt.Gox가 헤드라인에서 빠지지 않던 그 해 동안 — 한국의 BTC 시세는 해외 시세와 의미 있게 분리되기 시작했습니다. 국내 매수 수요는 있는데 해외 유동성과의 연결이 약해지자 국내 가격이 해외보다 일관되게 비싸지는 현상이 자라기 시작한 것입니다.

이 시기의 한국 시장이 만든 두 가지 구조적 결과가 있습니다.

1. 국내 거래소의 부상. 2014년 말~2015년 사이 Bithumb이 본격적으로 시장에 들어왔고, Coinone(2014)이 출범했으며, 2017년에는 두나무의 Upbit이 미국 Bittrex와의 제휴를 기반으로 출시되어 단숨에 국내 1위가 됩니다. Mt.Gox가 가라앉은 자리에 한국 거래소들이 자라났다는 인과는 너무 단순한 표현이지만 — 시장 진공이 국내 인프라 성장의 직접 동력이었다는 점만큼은 부정하기 어렵습니다.
2. 김치 프리미엄의 형성. 한국 가격이 해외 가격보다 일관되게 높게 거래되는 현상을 가리키는 '김치 프리미엄(Kimchi Premium)'이라는 단어가 영어권 가상자산 어휘에 자리잡은 시기는 2017-2018년경입니다. 그러나 그 현상의 구조적 뿌리 — 외환 규제로 차익거래가 막혀 있고, 국내 수요가 해외 유동성과 분리되어 진화한 시장 — 는 정확히 Mt.Gox 직후의 시기에 형성되었습니다. 2017년 12월의 김치 프리미엄 최고치(약 50%)는 그 13년 전 1년의 진공 위에 누적되어 폭발한 결과입니다.

2018 이후 — KoFIU와 가상자산이용자 보호법

한국 정부의 가상자산 규제 형성사도 — 직접적으로 Mt.Gox를 인용하지는 않지만 — 그 그림자 안에 있습니다. 2017년 12월 비트코인 가격이 2,500만원을 넘었을 때 한국 금융당국의 첫 번째 본격 대응은 '가상자산 거래소에 대한 실명 입출금 계좌 의무화'였습니다. 이 정책의 명시적 동기는 자금세탁 방지였지만, 정책 입안 과정의 내부 논의에서 반복적으로 인용된 사례 중 하나가 Mt.Gox였다는 사실은 — 2018년 금융위원회 보도자료에 간접적으로 드러나 있습니다. '거래소가 부실 운영되어 사용자 자금이 사라지는 일'을 막기 위한 인프라가 필요하다는 합의의 출처가 그것이었습니다.

2020년 3월 통과된 「특정금융정보법(특금법)」 개정안은 가상자산사업자(VASP) 신고제를 도입했고, 신고 수리 기관으로 KoFIU(금융정보분석원)를 지정했습니다. 2021년 9월 24일을 기한으로 한 일제 신고 절차에서 — 신고 기준을 충족한 거래소는 4곳(Upbit·Bithumb·Coinone·Korbit) — 나머지는 시장에서 사라졌습니다. 이 구조의 본질은 '거래소 라이선스화'이며, 그 라이선스의 핵심 조건은 — 부분적으로는 Mt.Gox가 시스템 차원에서 결여했던 모든 것 — 실명 계좌·자금세탁 방지·고객 자산 분리·보안 사고 신고 의무 — 입니다.

그리고 2023년 6월 국회를 통과한 「가상자산 이용자 보호법」은 2024년 7월 19일 시행되었습니다. 이 법의 핵심 조항들은 — Mt.Gox 사건의 구조적 교훈을 — 한국 법체계에 명시적으로 번역해 넣은 것에 가깝습니다.

• 거래소는 고객 예치금을 회사 운영 자금과 분리해 별도 은행 신탁으로 보관해야 합니다(Mt.Gox는 정확히 이 분리가 없었습니다).
• 거래소는 고객 가상자산의 80% 이상을 콜드월렛에 보관해야 합니다(Mt.Gox의 핫월렛 누출이 30개월간 보이지 않았던 이유의 정확한 반대).
• 거래소는 가상자산 유출 사고를 즉시 금융당국에 신고해야 합니다(Mt.Gox의 32개월 은폐와 정확히 대척).
• 시세 조종과 미공개 정보 이용은 최대 무기징역과 부당이득 3-5배 과징금으로 처벌됩니다.

제가 이 장에서 강조하고 싶은 점은 — Mt.Gox는 한국에 어떤 위로도 남기지 않았다는 사실, 그러나 동시에 한국 가상자산 규제의 현재 형태를 결정한 가장 깊은 단일 사건 중 하나라는 사실 — 두 가지를 동시에 인정해야 한다는 것입니다. 그 11년의 침몰과 부분 회수가 — 한국 사용자에게 직접적으로 — 변제된 것은 아닙니다. 그러나 그 사건의 구조적 학습은 다음 한국 사용자가 비슷한 침몰선에 타지 않도록 만드는 인프라의 일부가 되었습니다.

2024년 Karpelès의 The Block 인터뷰 — 한국어 번역의 시점

Mt.Gox 사건 10주년을 맞은 2024년 2월 28일, Karpelès는 The Block과 장문의 인터뷰를 진행했습니다. 영어 원문은 약 6,000단어이고 — 같은 시기 한국의 코인데스크 코리아가 핵심 부분을 한국어로 옮겼습니다. 그 인터뷰에서 Karpelès가 한 발언 중 한국 독자에게 직접 의미가 있는 한 줄은 — "잘못된 판단이었습니다. 그러나 저는 돈을 가져간 사람이 아닙니다. 돈을 가져간 사람은 지금 프랑스 감옥에 있습니다" — 였고, 그 인용은 코인데스크 코리아 번역에서 거의 그대로 옮겨졌습니다.

이 발언을 어떻게 평가할지는 — 트러스티의 설명(Karpelès가 내내 알고 있었다)을 신뢰하느냐 Karpelès의 설명(2014년 1월에야 알았다)을 신뢰하느냐에 달려 있습니다. 제 평가는 트러스티 측이 옳다는 쪽입니다. 그러나 같은 문헌을 읽고도 합리적으로 다른 결론에 이르는 분들이 있을 수 있습니다. 한국어 독자에게 권할 수 있는 일은 — 두 측 진술을 직접 읽으시는 것입니다 — 코인데스크 코리아의 번역과 The Block 영어 원문 모두 접근 가능하며, 본 권의 [주요 출처] 절에 링크가 있습니다.

제7장 · 키퍼의 핸즈온 · 저의 Mt.Gox는 BitGrail에서 시작합니다

제8장 · 온체인 포렌식 · Wizsec·Kim Nilsson·BTC-e의 실

Mt.Gox 이야기에는 영어권 요약이 끝까지 따라가는 일이 드문 실 한 가닥이 있습니다 — 소수의 독립 조사관들이 10년 동안 공개 체인 데이터만으로 도난된 65만 BTC가 어디로 갔는지를 재구성한 일입니다. 그 실의 끝은 Alexander Vinnik을 프랑스 감옥에 보냈고, Kim Nilsson의 이름을 온체인 포렌식 실무의 정전에 새겼습니다.

Wizsec은 누구인가

Wizsec은 2014년 Mt.Gox 피해자들이 스스로 조직한 체인 포렌식 그룹입니다. 핵심 멤버는 Kim Nilsson, Jason Maurice, Daniel Kelman 세 명. 세 명 모두 Mt.Gox 채권자였습니다. 세 명 모두 개인적으로 돈을 잃었습니다. 그들의 공통된 판단은 — 일본 트러스티 사무실이 아무리 유능해도 도난된 BTC의 실제 행방을 식별하는 데 필요한 체인 분석 작업을 할 역량은 없다는 것이었습니다. 그래서 그들이 직접 하기로 결정했습니다.

방법론은 '클러스터 분석 + 행동 패턴 식별'이라는 조합이었습니다. 단계는 다음과 같습니다.

1. 시드 집합: 공개적으로 알려진 모든 Mt.Gox 통제 지갑 주소(약 17개 클러스터, 총 수천 개 주소)를 출발점으로 식별합니다.
2. 유출 추적: 이 주소를 떠나는 모든 BTC를 다음 홉 목적지까지 따라갑니다.
3. 클러스터 식별: 다음 홉 주소에 사용 패턴 휴리스틱을 적용합니다 — 예를 들어 '공통 입력 소유권' 휴리스틱(한 트랜잭션의 여러 입력은 보통 동일 개인키 통제), 같은 시간 창 공통 스크립트 템플릿 유출(같은 지갑 소프트웨어, 같은 타이밍 패턴).
4. 거래소 입금 패턴 매칭: 식별된 클러스터로 '중간 세탁 클러스터'를 찾고, 이를 알려진 거래소 입금 주소로 추적합니다.

Chainalysis가 후일 이 방법론 전체를 상업화해 산업으로 만듭니다. 그러나 2014-2017 사이 Mt.Gox 특정 흐름에 대해 이런 종류의 분석을 한 그룹은 사실상 Wizsec이 유일했습니다. 도구는 오픈소스 BlockSci에서 출발해 자체 Python 스크립트로 진화했습니다. 그들은 진행 상황을 단계적으로 공개했습니다.

2017년 7월 보고서

Wizsec의 2017년 7월 보고서 "Breaking Open the MtGox Case, parts 1-3"은 이 사건에 대한 정전적 온체인 포렌식 문서로 남아 있습니다. 핵심 결론:

• Mt.Gox에서 도난된 BTC 총량은 약 647,000 BTC이며, 출혈은 2011년 9월부터 2013년 5월까지 진행되었습니다.
• 그중 약 300,000 BTC가 결국 BTC-e로 식별되는 주소 클러스터로 흘러갔습니다.
• BTC-e는 몇 개의 고빈도 '판매 주소'를 가졌고, 2011년부터 2014년까지 대량의 BTC를 반복적으로 USD로 환전했습니다(BTC-e의 WMZ-USD 채널을 통해 결국 러시아권 은행 레일로).
• 이 판매 주소들의 행동 시그니처는 빽빽이 클러스터링되었습니다 — Wizsec은 한 명 또는 소수의 개인이 운영을 통제했다고 평가했습니다.

Wizsec 보고서의 결정적 규율은 — 개인 이름을 호명하지 않았다는 점입니다. 그들의 입장은 체인 데이터가 세탁 경로를 입증할 수 있지만 인간 통제자를 직접 식별할 수는 없다는 것이었습니다. 그 마지막 단계는 소환장 권한을 가진 법 집행이 해야 했습니다. Wizsec은 보고서와 기초 데이터를 FBI와 러시아 자금세탁 방지 당국에 넘겼습니다. FBI가 주도권을 잡았습니다.

Alexander Vinnik의 이야기

Alexander Vinnik은 1979년생 러시아 국적자이며 2011년부터 BTC-e의 핵심 운영자 중 하나로 활동했습니다. 그는 BTC-e의 '소유자'임을 공개적으로 인정한 적이 없지만 — 2017년 FBI 기소장은 그를 "주요 운영자"로 묘사합니다.

2017.07.25 — Vinnik이 그리스 할키디키에서 휴가 중 체포됩니다. 자금세탁·사기·미등록 화폐서비스 운영 21개 혐의의 FBI 인도 요청에 따른 것이었고, 누적 최대 노출은 55년이었습니다.

2017-2020 — Vinnik은 미·프랑스·러시아 사이 3자 인도 줄다리기의 대상이 되고, 그리스는 각국에 대한 인도 명령을 차례로 발효하고 번복합니다.

2020.01.23 — Vinnik이 마침내 프랑스로 인도됩니다. 프랑스 법원은 그를 자금세탁 혐의로 유죄 판결하고 5년 징역형을 선고합니다. 이것은 Mt.Gox 이야기에서 — 국가 법원이 온체인 증거를 유죄 판결의 주된 근거로 공식 인정한 — 유일한 판결입니다.

2022.08 — Vinnik이 프랑스 형기를 마치고 미국으로 인도되어 원래의 FBI 혐의(사실상 훨씬 더 무거우며 수십 년 단위의 선고 노출)에 직면합니다.

2024.05 — Vinnik이 — 러시아에 억류된 미국 시민 Marc Fogel의 석방을 노린 — 미·러 죄수 교환 협상의 일부로 공개적으로 거명됩니다. 최종 교환은 2024년 8월 완료되고 Vinnik은 더 큰 교환의 일부가 됩니다.

2025.02 — 미국 OFAC(해외자산통제실)가 Vinnik을 — 초국적 자금세탁 가상자산 거래소 운영 역할을 사유로 — SDN(특별지정 국가 명단)에 공식 등재합니다. 2026년 중반 기준 그의 사건에 대한 미국 정부의 최종 공식 조치입니다.

전체 실이 끝까지 이어진 이유는 — 세 명의 민간 조사관이 세 나라의 가정 사무실에 앉아 3년 동안 체인 분석 코드를 짰기 때문입니다. 가상자산 역사상 처음으로 민간 온체인 조사가 국제 형사 재판 결과로 직접 이어진 사례입니다. Wizsec이 만든 프레임워크는 이후 Chainalysis, Elliptic, TRM Labs, Arkham 같은 회사들에 제도화되었습니다 — 그러나 방법론, 규율, 그리고 다년에 걸쳐 무보수 포렌식 작업을 할 의지 — 모두 여기서 시작되었습니다.

Kim Nilsson이라는 인물

Wizsec의 단일 최대 기여자는 스웨덴 소프트웨어 엔지니어 Kim Nilsson이었습니다. 그의 개인 이야기는 한 문단을 따로 할애할 가치가 있습니다 — 가상자산이 충분히 인정하지 않는 범주의 정전적 사례이기 때문입니다. 피해자가 조사관이 되는 경우입니다.

Nilsson은 2010년대 초 스웨덴의 소프트웨어 회사에서 일하고 있었습니다. 부업적 관심으로 암호학을 공부하고 있었습니다. 2011-2013 사이 그는 — 사실상 개인 저축의 대부분에 해당하는 — 약 20,000달러를 Mt.Gox에 넣어 BTC를 샀습니다. 2014년 2월 Mt.Gox가 출금을 정지했을 때, 그의 개인 손실은 약 13,000 BTC였습니다 — 2014년 가격으로 약 600만 달러, 2024년 가격으로 약 8억 달러.

Nilsson은 다른 대부분의 피해자가 택한 소송 경로를 택하지 않았습니다. 그는 더 느리고 더 깊은 길을 선택했습니다 — 체인 분석을 직접 배우고, 도구를 직접 작성하고, 돈을 직접 추적하는 것. 그는 거기에 10년을 썼습니다.

• 2014-2015 — 비트코인 프로토콜 내부와 온체인 데이터 구조 자습.
• 2015-2016 — Mt.Gox 지갑 흐름 식별을 위한 자체 클러스터링 도구 작성.
• 2017 — Wizsec과 합류해 정전 보고서 발표; BTC-e 데이터를 FBI에 전달.
• 2017-2020 — 그리스·프랑스·미국 Vinnik 재판에 전문가 증인으로 참여.
• 2017 — DEF CON 25 발표로 방법론을 공개적으로 처음 제시.
• 2023 — How to Catch a Crypto Thief: A Decade of Tracking Bitcoin (O'Reilly Media) 출간.
• 2024-2026 — Mt.Gox Legal(가장 오래 운영되는 채권자 옹호 단체)의 비공식 기술 자문.

Nilsson의 작업이 더 넓은 가상자산 맥락에서 갖는 의미는 — 한 사람 더하기 공개 체인 데이터가 국가 차원 금융 범죄에 도전할 수 있다는 사실을 증명했다는 점입니다. 웹2 세계에서 이것은 기능적으로 불가능합니다. 온체인 세계에서는 데이터가 공개되어 있습니다. 인내심, 기술적 역량, 동기를 가진 누구라도 원칙적으로 Nilsson이 걸은 길을 재현할 수 있습니다. 이것이 경기장의 모양을 바꿉니다.

2차 유산은 — Mt.Gox 침몰이 독립 온체인 포렌식이라는 산업 자체를 탄생시켰다는 점입니다. Chainalysis, Elliptic, TRM Labs, Arkham — 이제 누적 가치 수십억 달러에 이르는 — 이 회사들은 모두 Wizsec의 어깨 위에 서 있습니다. Nilsson의 600만 달러 손실은 — 그 구체적 의미에서 — 체인 포렌식 산업의 존재 비용을 지불한 것입니다.

제9장 · 같은 침몰선, 네 개의 시선

Mt.Gox는 어느 자리에 앉아 있느냐에 따라 완전히 다르게 보입니다. 이 장은 같은 이야기를 네 개의 다른 시점에서 다시 합니다 — 사용자, Karpelès, 법원과 트러스티, 그리고 조사관. 각각은 부분적입니다. 합쳐진 그림이 어느 단일 시점보다 진실에 더 가깝습니다.

시선 1: 사용자

2014년 2월 Mt.Gox 사용자가 본 것:

• 2월 7일 — Mt.Gox에 로그인하면 'BTC 출금 일시 정지'라는 작은 배너가 보입니다. 점검으로 추측하고 신경 쓰지 않습니다.
• 2월 10일 — 실제로 출금을 시도해 보니 버튼이 회색입니다. Bitcointalk에서 malleability 버그에 대해 읽습니다. 기술 문제로 판단하고 며칠 더 두기로 합니다.
• 2월 17일 — 로그인합니다. 잔액은 여전히 보입니다. 첫 화면에 '조사 중' 공지가 떴습니다. 시장 BTC 가격이 800달러에서 600달러로 떨어졌습니다.
• 2월 23일 — Reddit에서 'Crisis Strategy Draft'를 봅니다. 패닉이 시작됩니다.
• 2월 24일 — mtgox.com을 열어봅니다. 사이트 전체가 'Dear MtGox Customers'라는 정적 영어 페이지로 바뀌어 있습니다. 잔액은 더 이상 보이지 않습니다.
• 2월 28일 — 보도자료를 읽습니다. 85만 BTC 분실. 30분 동안 화면 앞에 앉아 아무 말도 하지 않습니다.
• 이후 10년간 — '파산 절차가 계속 중'이라는 일본어 이메일을 가끔 받습니다. 일본어를 모릅니다. 매번 Google로 번역합니다. 결국 돈은 사라졌다는 가정을 내재화합니다.
• 2024년 7월 — 11년 전에 지정해 둔 거래소 주소로 '기본 분배'가 도착했다는 이메일을 받습니다. 지갑을 열어보면 — 2024년 가격으로 — 원래 2014년 입금의 몇 배에 해당하는 BTC가 들어와 있습니다. 기뻐해야 할지 슬퍼해야 할지 알 수 없습니다.

그것이 사용자 자리에서 본 10년 곡선입니다. 한 가지를 구체적으로 말하고 싶습니다 — 제가 개인적으로 가장 잘 아는 부분은 이 경험의 Mt.Gox 판본이 아니라 BitGrail 판본입니다. 당신의 돈이 공개 발표 하나로 사라지는 것을 지켜보는 현상학은 동일합니다. 받는 이메일마다 읽습니다. 읽을수록 돈이 돌아오지 않을 것을 더 분명히 이해합니다. Mt.Gox 곡선이 다른 점은 — 11년 차 이메일이 그 결론을 뒤집었다는 것뿐입니다.

트러스티 신청서에서 추출 가능한 사용자 기반 지역 분포:

• 일본 사용자: 약 30%. 국내 일본 민사 절차로 청구. 절차 효율 최고, 회수율 최고.
• 미국 사용자: 약 25%. 일본 파산 절차와 미국 측 CoinLab 집단소송 모두 진행. 회수율 2위, 절차 기간 최장.
• 유럽 사용자: 약 20%. 일본 트러스티 사무실 경유. 언어 장벽 비용 최고.
• 초기 중국 사용자: 약 15%, 후일 중국어 비트코인 씬에서 두각을 보이게 될 인물들 포함. 이 그룹의 일부는 — Mt.Gox 신뢰성 악화에 대한 커뮤니티 신호를 받고 — 2014년 1월 이전에 BTC를 빼냈고 살아남았습니다. 다른 부분집합은 머물렀고 잡혔습니다.
• 기타 지역: 약 10%, 라틴아메리카·동남아·아프리카 포함. 문서화 장벽 등으로 청구 성공률 최저. 한국 사용자 비중은 일본 트러스티가 국적별로 공개하지 않아 별도 통계가 없습니다 — 본문 제6장 참조.

시선 2: Karpelès

재판 증언, 2024년 회고록, 2024년 The Block 인터뷰를 종합하면 Karpelès의 2014년 2월 판본은 대략 다음과 같습니다.

그는 회계 BTC와 실제 체인 BTC 사이의 격차를 처음 완전히 인지한 것이 2014년 1월 후반이라고 주장합니다. 그는 처음으로 Python으로 전체 지갑 정산을 돌린 어느 특정 날을 묘사하며 — 출력 결과를 보고 몇 시간 동안 컴퓨터 앞에 앉아 있었다고 말합니다.

그는 이후 3주간 세 가지 선택지 사이에서 갈등했다고 말합니다.

1. 즉시 공개 공시 — 그러나 이는 회사를 즉각 무너뜨리고 채권자가 아무것도 회수하지 못하게 만듭니다.
2. 회사 자본과 신규 자금 조달로 격차를 메움 — 그러나 2014년 1월 가격으로 65만 BTC는 약 5억 달러입니다. 그는 그 금액을 조달할 수 없었습니다.
3. 출금을 정지할 핑계를 찾고 시간을 버는 것, 가격 상승이나 외부 구제를 기다리며.

그는 선택지 3을 택했습니다. malleability 버그가 1월 후반 Bitcointalk에서 활발히 논의되고 있었기에 그것이 방패가 되었습니다. 이후 인터뷰에서 그는 이 부분이 "적극적 거짓말"이었음을 인정했습니다.

그가 한 번도 인정하지 않은 것은 — BTC를 적극적으로 훔쳤다는 것입니다. 그의 재판 변호는 — 사라진 BTC가 외부 공격자들에 의해 도난되었으며(Wizsec의 체인 포렌식이 대체로 지지하는 주장) — 자신의 형사 노출은 도난을 공시하지 않은 점과 고객 신뢰 유지를 위해 기록을 위조한 점에 한정된다는 것이었습니다. 이 변호는 부분적으로 받아들여졌습니다 — 일본 법원은 그를 업무상 횡령(業務上橫領罪)에 대해서는 무죄로, 사전자기록 부정 작출(私電磁的記錄不正作出罪)에 대해서는 유죄로 판결했습니다.

2024년 The Block 인터뷰에서 그는 — 제 머리에 남은 — 한 가지를 말했습니다 — "잘못된 판단이었습니다. 그러나 저는 돈을 가져간 사람이 아닙니다. 돈을 가져간 사람은 지금 프랑스 감옥에 있습니다." 이 인용은 — Vinnik에 대한 참조이며 — 제 평가는 트러스티 쪽이 옳다는 것이지만, 같은 문서를 읽고도 다른 결론에 이르는 분들이 있습니다. 코인데스크 코리아가 같은 인터뷰의 한국어 번역을 게재했고 — 본 권 [주요 출처]에 링크되어 있습니다.

시선 3: 법원과 트러스티

법원 측 시점은 거의 전적으로 한 인물을 따라 흐릅니다 — 파산관재인 노부아키 코바야시 변호사. 그는 2014년 4월 도쿄지방재판소 민사 8부에 의해 선임되었습니다. 이것은 그의 경력에서 가장 오래 운영되는 사건입니다 — 2014년부터 적어도 2029년(현재 추정 종결 시점)까지, 15년 곡선.

코바야시의 작업:

• 2014-2015 — 모든 Mt.Gox 자산을 인수, '회수된' 20만 BTC 포함.
• 2017-2018 — BTC 가격이 1만 달러에서 2만 달러로 오르는 동안 약 35,000 BTC와 35,000 BCH를 적극 매도해 약 5억 달러 상당의 엔화를 확보했습니다 — 절차 운영과 부분 사전 분배를 위해.
• 2018 — 절차를 직접 파산에서 民事更生(민사재생)으로 되돌리는 재분류. 이것이 — 제 독해로는 — 그가 내린 가장 결정적 단일 결정입니다. 만약 사건이 파산으로 남았다면 채권자들은 2014년 BTC 가격 기준의 엔화 — 약 BTC당 483달러 — 로 지급받았을 것입니다. 民事更生은 BTC 수량 기준으로 지급할 수 있게 했습니다.
• 2021 — 채권자 투표로 최종 재생 계획 승인. 약 95%의 채권자가 '중간 단계 분할 지급'을 선택했습니다.
• 2024-2026 — 기본 변제 실행. 2026년 5월 기준 약 92%의 채권자가 기본 분배를 받았습니다.

가상자산 업계 밖에서 코바야시는 사실상 무명입니다. 안에서 그는 — 제 평가로 — Mt.Gox 채권자들이 결국 무언가를 회수할 수 있게 된 데 가장 책임이 큰 단일 개인입니다. 그의 2018년 재분류 결정이 변곡점입니다.

시선 4: 조사관

조사관 시점은 부분적으로 제8장(Wizsec, Kim Nilsson)이 이미 다뤘습니다. 영어권 회고가 자주 빠뜨리는 추가 이름 몇 가지:

• Jesse Powell(Kraken 창업자). Powell은 2014년 2월 말과 3월 Mt.Gox에 비상 자문으로 초청받았습니다. 그는 도쿄로 날아가 약 3주간 머물렀습니다. 2017년 인터뷰에서 그는 — "도쿄 둘째 날에 그들의 장부가 결코 정산되지 않을 것임을 알 수 있었습니다. 저는 즉시 신청하라고 권했습니다. Karpelès는 그러지 않았습니다." — 라고 말했습니다.
• Daniel Kelman(변호사, Wizsec 멤버). Kelman은 Mt.Gox에서 약 200만 달러를 잃었습니다. 2014년부터 그는 소송 변호사로 활동하면서 동시에 Wizsec의 체인 분석에 기여했습니다.
• Patrick McKenzie(Stripe 초기 직원, 핸들 patio11). 그는 2014년 "Mt. Gox is dead, but its source code is alive in your repo"라는 블로그 글을 써서 실패의 엔지니어링 교훈을 체계화했습니다.
• Tetsuya Ishikawa(독립 일본 금융 저널리스트). 2014년부터 모든 Mt.Gox 파산 절차 이정표를 추적하며 일·영 이중언어 요약을 만들었습니다. 그의 번역이 없었다면 비일본어 채권자의 상당 부분은 트러스티 공지를 따라갈 수 없었을 것입니다.

이 네 시선을 합치면 Mt.Gox 사건의 실제 모양에 — 어느 단일 시선이 혼자 가질 수 있는 것보다 — 더 가깝습니다. 가장 흔한 프레임인 사용자 시선만 가지고 다시 말하는 어떤 재현도 실제 일어난 일의 구조적 복잡성의 약 80%를 잃습니다.

제10장 · 11년 동안 끝나지 않은 인양 작업

Mt.Gox 파산 절차는 — 2014년 4월 24일 도쿄지방재판소의 결정으로부터 — 이미 12년을 달려왔고 아직 종결되지 않았습니다. 그 사이 네 개의 주요 절차적 변곡점이 있었습니다.

2018년 재분류 — 가장 결정적 단일 결정

2018년의 파산에서 民事更生으로의 재분류는 — 자세히 읽으면 — 12년 절차 전체에서 가장 결정적 단일 결정입니다. 직접 파산 아래서라면 채권자들은 2014년 BTC 가격에 대한 엔화 표시 지급액 — 약 BTC당 483달러 — 을 받았을 것입니다. 民事更生은 절차가 BTC 수량 기준으로 분배할 수 있게 했습니다 — 즉 2014년 Mt.Gox에 1 BTC를 보유했던 채권자가 0.21 BTC(21% 회수율 기준)를 돌려받을 수 있게 된 것입니다.

코바야시의 법적 논리는 우아했습니다. 그는 — Mt.Gox의 핵심 자산이 엔화 부채가 아니라 BTC·BCH 같은 물리적 가상자산 보유이며, 이는 '청산 대기 중인 통상 파산 자산'이 아니라 '지속적으로 가치가 상승하는 본래적 경제 가치를 가진 자산'이고, 따라서 Mt.Gox의 청산은 '통상 파산 처분'보다 '특수 자산을 보유한 법인의 갱생'에 가깝다 — 고 주장했습니다. 도쿄지방재판소 민사 8부는 이 주장을 받아들였습니다. 일본 법 역사상 가상자산이 '파산 청산 대기 자산'이 아니라 '갱생 가능 자산'으로 취급된 첫 번째 사례였습니다. 2024년 FTX 미국 파산 절차도 유사한 분쟁에 직면했고, 결국 미국 법원 판결은 일본의 Mt.Gox 선례를 참조했습니다.

채권자 결과 관점에서 — 2024년 분배 시점에 BTC가 6만 달러 이상에서 거래되면서 — 채권자가 실제로 받은 것은 놀라웠습니다. BTC 수량 기준 21% 회수, 코인당 800달러 원래 가치에 대해, 달러 환산 회수는 원래 BTC당 약 12,600달러. 실질 달러 회수율은 21%가 아니라 약 1,575%입니다. 가상자산의 어떤 다른 침몰선도 일치시키지 못한 — Mt.Gox 이야기의 유일한 부조리입니다.

Karpelès의 일본 형사 재판 (2015-2019)

2019년 3월 15일 도쿄지방재판소 형사 18부의 1심 판결문(사건번호 평성 30년 (특와) 제1268호)의 사실 기록:

기소 혐의:

• 업무상횡령(業務上横領罪) — 검찰은 Karpelès가 고객 예탁금 약 3억 4천만 엔을 본인 개인 계좌로 옮겼다고 주장.
• 사전자기록 부정 작출(私電磁的記録不正作出罪) — 검찰은 Karpelès가 Mt.Gox 백엔드 데이터베이스에서 약 33억 8천만 엔어치의 'USD 입금 기록'을 위조했다고 주장.

판결:

• 업무상횡령 — 무죄. 법원은 자금이 이후 회사 계좌로 반환되었고 Karpelès가 이를 '경영자 차입'으로 일관되게 처리했다는 점에서 횡령에 해당하지 않는다고 판단했습니다.
• 사전자기록 부정 작출 — 유죄. 형량: 2년 6개월 징역, 4년 집행유예. 그는 재판에서 데이터베이스에 거짓 입금 기록을 적었다는 점을 인정했고, 동기는 "Mt.Gox에 대한 시장 신뢰를 유지하고 뱅크런을 피하는 것"이었다고 주장했습니다. 법원은 '개인적 이익 의도의 주관적 부재'를 양형 감경 사유로 받아들여 집행유예를 정당화했습니다.

4년 집행유예는 2023년 10월에 만료되었습니다. 그 시점부터 Karpelès는 일본에서 어떤 법적 위험에도 처해 있지 않습니다. 그는 2014년 이후 미국에 입국한 적이 없고(21개 혐의의 미국 기소가 여전히 유효해 입국 시 체포가 사실상 확실), 도쿄에 거주합니다.

제11장 · 2026년 5월, 잔해의 현재

이 글을 쓰는 시점(2026년 5월 초)에서 공개적으로 검증 가능한 Mt.Gox 잔해의 상태는 다음과 같습니다.

• 코바야시 트러스티가 보유 중인 BTC: 약 142,000 BTC (일부는 분배 지정, 일부는 미확정 청구 대비 준비금)
• 트러스티 보유 BCH: 약 141,000 BCH (2017 하드포크로 BTC와 거의 평행)
• '기본 변제'를 완료한 채권자: 약 92%
• 여전히 보류 중인 채권자: 약 8%, 신원 확인·KYC 만료·수령 거래소 계정 문제 등
• 전체 BTC 기준 회수율: 약 21%
• 2014년 입금 가치 대비 실질 달러 회수율: 1,500% 이상
• 최대 단일 미해결 청구: 약 27,000 BTC, CoinLab과 분쟁 중 — 13년이 지난 지금도 미해결인 국경 간 소송

모든 분배 파도 전후에 시장은 — 트러스티가 BTC를 시장에 풀어 매도세를 촉발할 것이라고 — 반복적으로 우려합니다. 2024년 7월 1차 파도 이후 2주간 BTC는 누적 약 8% 하락했지만 두 달 안에 완전히 회복했습니다. 사후 체인 분석은 트러스티가 대량 매도에 참여하지 않았음을 보여주었습니다 — 분배된 BTC 대부분이 채권자가 지정한 거래소 주소로 곧장 갔고, 실제 매도 결정은 각 개별 채권자에게 맡겨졌습니다.

왜 8%의 채권자가 아직 기본 변제를 받지 못했나

트러스티의 2026년 1분기 공지에 따르면, 보류 중인 8% 채권자의 분포는 다음과 같습니다.

• KYC 실패(약 35%) — 2024년 7월 KYC 갱신이 요구되었을 때, 이 채권자들은 신원 서류가 만료되었거나 주소 검증이 불완전했거나 거주 국가가 바뀐 채 기록이 갱신되지 않았습니다.
• 지정 수령 거래소 비호환(약 28%) — 일부 채권자가 2014년 지정한 수령 거래소가 더 이상 존재하지 않거나(BTC-e, 2018년 이전 Coincheck API, Bittrex Global) 새 규제 체제 아래서 '파산 유래' 자금 수령을 거부합니다.
• 채권자 사망(약 15%) — 12년이 지나면서 일부 채권자가 사망했고, 본인 관할의 상속 절차가 일본 트러스티 절차와 동기화되지 않았습니다.
• 신원 확인 분쟁(약 12%) — 채권자이기도 한 Mt.Gox 전직 직원들의 신원 인증 분쟁; CoinLab 관련 기관 청구 분쟁.
• 기술적 문제(약 10%) — 잘못된 주소 입력, 지정 거래소 이전으로 수령 주소 손상 등.

이 8%의 일부는 영영 변제되지 않을 수 있습니다. 일본 도산법의 '미청구 배당' 처리는 — 법정 공고 기간 이후 미청구 금액이 '분배 잔여'로 채권자 풀에 다시 들어가 — 이미 인증된 채권자에게 비례 재분배된다는 것입니다.

27,000 BTC CoinLab 분쟁과 최종 종결 일정

Mt.Gox 재단에 대한 가장 큰 미해결 청구는 CoinLab입니다 — 2012년 'Mt.Gox 미국 시장 독점 대리인' 계약을 맺은 미국 회사이며, 계약 이행이 첫날부터 다툼이었습니다. 2013년 CoinLab은 워싱턴 서부 미국 연방지방법원에서 Mt.Gox를 7,500만 달러에 제소했고(원래 금액, 이후 수차례 수정으로 누적 청구가 130억 달러까지 늘었습니다), 사건은 2013년부터 2026년까지 최종 해결 없이 진행되었습니다. 구조적 문제는 — CoinLab의 청구 금액이 Mt.Gox 자산 전체를 초과한다는 것입니다.

실무적으로 이렇게 되지는 않을 것입니다. 일본 도산 절차는 외국 판결 기관 청구의 인정에 상당한 제한을 둡니다. 트러스티의 2026년 1월 공지가 추정하는 일정은 — 2026년 말 4차 기본 변제 완료(95% 커버), 2027-2028 남은 5% 복잡 청구 및 CoinLab 합의 처리, 2029 최종 종결 — 입니다. 일정이 유지된다면 2014년 시작된 절차는 15년이 됩니다.

흥미로운 계산: 침몰(2014)부터 첫 분배(2024)까지 BTC는 800달러에서 6만 달러로 75배 상승했습니다. 2014년에 1 BTC를 입금한(가치 800달러) 채권자는 지금 0.21 BTC(가치 12,600달러)를 받고 있습니다. 실제 USD 회수율은 21%가 아니라 1,575%입니다. 이 부조리한 계산이 Mt.Gox를 가상자산 역사상 가장 기묘한 침몰선으로 만듭니다 — 충돌 순간의 파괴를 인양 작업의 지연이 원래 손실을 한 자릿수 차이로 초과하는 회수로 바꿔놓은 것입니다. 일반 파산 절차에서의 10년 인내심은 비극입니다. 가상자산 파산에서의 10년 인내심은 — 올바른 법적 구조 아래서 — 윈드폴이 될 수 있습니다.

제12장 · 이 침몰선이 남긴 것 (7가지 교훈)

Mt.Gox 이야기의 통상적 판본은 세 가지로 수렴합니다 — 거래소에 키를 두지 말라; CEX는 신뢰할 수 없다; Karpelès는 무능했다. 세 가지 모두 사실입니다. 세 가지 모두 — 2026년에 행동 가능하기에는 — 너무 얕습니다. 이 권을 네 번 다시 쓰며 정리한 더 긴 목록은 다음과 같습니다.

1. 독립 컴플라이언스와 독립 재무가 없는 어떤 거래소도 구조적으로 더 어린 Mt.Gox입니다. 거래별이 아닌 총량 정산만 하는 관행은 2026년 시점에도 중소형 거래소 사이에서 흔합니다. 거점이 Mt.Gox 궤도 위에 있는지를 판단하는 표지는 — 월간 PoR 발행 여부, 독립 감사인 검증 여부, 온체인 부채 교차 검증 지원 여부입니다. 한국어 코너스톤에 Mt.Gox 템플릿 기준 8항목 체크리스트가 있습니다.
2. 첫 공식 규제 서한은 절대 작지 않습니다. 2013년 5월 미국 Dwolla 압수는 — 사후에 보면 — 2014년 붕괴 전체의 리허설이었습니다. FTX는 2022년 9월 첫 CFTC 조회를 받았고 11월에 파산했습니다. Celsius는 2022년 5월 SEC 서한을 받았고 6월에 출금을 정지했습니다. 이 패턴은 10년간 실패한 적이 없습니다.
3. "보안상의 이유로 출금을 일시 정지합니다"는 — 95%의 경우 — 거래소가 이미 지급불능 상태임을 말하는 문장입니다. 2014년 Bitstamp의 출금 정지(8일, 이후 재개)는 5% 예외입니다. FTX, Celsius, Voyager, Cryptopia, BitGrail, QuadrigaCX, FCoin, Hotbit — 다른 모든 사건은 95% 경로를 갔습니다. 사용 중인 어떤 거래소에서든 '출금 정지' 공지를 본다면, 최적의 움직임은 — 남은 유동 잔액을 가능한 짧은 시간에 가능한 많이 빼내고, 나머지를 50% 확률의 영구 손실로 처리하는 것입니다.
4. CEO가 비공식에서 하는 말이 공식 성명보다 정보량이 큽니다. Karpelès는 붕괴 1년 전에 — 반복적으로 — "코드베이스의 뼈가 따라가지 못한다"고 공개적으로 말했습니다. SBF는 2022년 8월 어느 팟캐스트에서 "내부 리스크 관리는 기본적으로 Excel 스프레드시트"라고 말했습니다. 3개월 뒤 그는 파산했습니다.
5. 이 업계의 모든 개선은 침몰선이 비용을 지불했습니다. 콜드/핫월렛 분리는 Mt.Gox 이후. 월간 PoR은 FTX 이후. 독립 체인 포렌식은 Mt.Gox 조사 때문에. SegWit은 Mt.Gox가 malleability의 비용을 보여주었기에. 한국의 가상자산이용자보호법은 Luna 이후. 다음 표준은 다음 재난 전까지 도착하지 않습니다.
6. "이번에는 진짜 고칠게요"는 거의 언제나 최종 단계의 제스처입니다. Karpelès는 2011년 6월 권한 강화에 대해 이 말을 했고, 이행하지 않았습니다. SBF는 2022년 11월 7일 "FTX는 괜찮다"고 말했습니다. 3일 뒤 파산했습니다. '실제로 고칠 것인가'를 테스트하는 방법은 — 수정의 온체인 검증 가능 증거를 만들어내는지 여부입니다.
7. 침몰선의 비용은 결코 균등하게 분포되지 않습니다. Mt.Gox의 최대 손실자는 큰손이 아니었습니다 — 대부분의 큰손은 2013년 후반에 BTC를 빼놨었습니다. 최대 손실자는 중간 크기 개인투자자(5-50 BTC 포지션)였습니다 — 일찍 빠질 만큼 민감하지도 않았고 잃어도 신경 쓰지 않을 만큼 분산되지도 않았던 그룹입니다. 회피의 의미는 'CEX를 절대 쓰지 말라'가 아니라 — 어떤 단일 CEX 포지션도 전체 손실 시 인생에 의미 있는 영향이 없을 만큼 작은 금액으로 유지하라는 것입니다.