🔎 핵심만 콕콕
- 최근 국세청, 검찰, 경찰 등 국가기관에서 가상자산이 탈취되는 사고가 발생했습니다.
- 실무진의 부주의와 실물 위주의 노후화된 관리 지침이 치명적인 허점으로 작용했는데요.
- 정부는 전수조사 시행, 단계별 관리 매뉴얼 도입 등 체계 재정비에 나섭니다.
보도자료 한 장에 날아간 69억 원
🔑 공개돼 버린 마스터키: 국세청이 고액 체납자의 가상자산을 압류한 성과를 홍보하다가 치명적인 실수를 저질렀습니다. 지난달 26일 배포한 보도자료에 콜드월렛의 '니모닉코드'가 그대로 노출된 건데요. 니모닉코드는 가상자산을 복원할 때 쓰는 암호로, 이 코드만 있으면 실물 지갑 없이도 어디서든 코인을 빼돌릴 수 있습니다. 한마디로, 가상자산의 지갑을 열 수 있는 마스터키가 만천하에 공개된 것이죠. 보도자료 사진에는 해상도가 낮아 코드 식별이 어려웠지만, 실무자가 민감정보가 포함된 사실을 인지하지 못하고 취재진에게 고해상도 원본 사진을 추가 제공하면서 문제가 터졌습니다.
콜드월렛: 인터넷과 연결되지 않은 오프라인 상태에서 암호화폐를 보관하는 물리적 장치나 지갑을 의미합니다. 네트워크라는 통로가 없어, 튼튼한 금고처럼 외부 해킹의 위험을 원천 차단하는 역할을 하는데요. 니모닉코드는 콜드월렛을 분실했을 때 자산을 되찾을 수 있는 암호입니다.
💸 보도자료 배포되자 바로 털렸다: 니모닉코드 노출은 프리리토게움(PRTG) 코인 400만 개가 유출되는 사고로 이어졌습니다. 현재 시세로 약 480만 달러(약 69억 원)에 해당하는 규모인데요. 국세청은 자체 가상자산 추적 프로그램으로 유출 경로를 추적하고 경찰에 수사를 의뢰했고, 이후 한 남성이 호기심에 저지른 일이라며 경찰에 자수했습니다. 다행히, 해당 코인은 거래가 거의 없고 현금화가 사실상 불가능한 종목이라 실제 피해 규모는 최대 수천 달러 수준에 그칠 것으로 알려졌죠.
⚠️ 돌려받자마자 또 털렸다: 그러나, 문제는 여기서 끝나지 않았습니다. 1차 해킹범이 코인을 원상 복구한 지 약 2시간 반 뒤, 또 다른 해커가 같은 코인을 다시 탈취했는데요. 니모닉코드가 이미 공개된 상태에서 국세청이 코인을 다른 전자지갑으로 옮기는 등 기본적인 보안 조치를 취하지 않았기 때문에 발생한 일이죠. 현재 2차로 유출된 코인은 회수되지 않은 상태며, 경찰청 사이버테러수사대가 정식 수사로 전환해 추가 피의자를 추적하고 있습니다.
수사기관도 코인 관리에 구멍 술술
🏛️ 광주지검, 피싱에 당해 317억 원 분실: 정부 기관의 가상자산 관리 부실이 드러난 건 이번이 처음이 아닙니다. 광주지검은 작년 8월 도박사이트 사건의 압수물인 비트코인 320개(현재 시세 약 317억 원)를 탈취당했는데요. 당시 압수물 관리 담당 수사관들이 업무 인수인계 중 비트코인 수량을 조회하다가 피싱사이트에 접속한 것이 원인이었습니다. 이후 매달 정기 점검에서 USB 형태의 전자지갑 실물만 확인하고 내용물은 생략했다가, 국고 환수 절차가 시작된 올해 1월에야 탈취 사실을 인지했죠. 다행히 지난달 19일 전량 회수에 성공했습니다.
피싱사이트: 공공기관이나 금융회사의 공식 홈페이지를 정교하게 흉내 내어 사용자의 개인정보와 금융정보를 몰래 가로채는 가짜 웹사이트를 의미합니다. 낚싯바늘 끝에 달린 '가짜 미끼'처럼, 겉모습은 평소 이용하던 사이트와 똑같지만 정보를 입력하는 순간 계좌 비밀번호나 개인정보가 범죄자에게 실시간으로 유출되는 위험한 함정을 뜻하죠.
👮 강남경찰서, 4년간 21억 원 증발 몰랐다: 서울 강남경찰서에서도 비슷한 일이 발생했습니다. 2021년 11월 해킹 범죄에 연루돼 제출 받은 비트코인 22개가 외부로 유출된 사실을 최근 파악한 건데요. 현재 시세로 환산하면 21억여 원에 달하는 규모죠. 가상자산의 지갑인 콜드월렛 USB는 그대로였지만 내부에 저장된 비트코인은 깨끗이 사라진 상태였습니다. 경찰 조사 결과, 해당 코인을 임의제출한 코인업체의 실운영자와 대표가 니모닉코드를 이용해 2022년 5월 경 코인을 빼돌린 것으로 드러났죠.
🔧 실물 중심 관리 지침이 문제: 전문가들은 이러한 사고의 원인으로 관리 규정의 허술함을 꼽았습니다. 압수한 가상자산이 수백억 원대에 이를 수 있는데도 관리 규정이 여전히 '실물' 증거물 중심에 머물러 있다는 지적인데요. 경찰청은 외부 콜드월렛보다 보안성이 높은 경찰 콜드월렛에 가상자산을 보관하도록 지침을 정했지만, 강남경찰서는 이를 따르지 않았습니다.
뒤늦게 대책 마련한 정부
📋 경찰, 단계별 관리체계 도입: 잇따른 분실 사고에 경찰이 관리체계 개선에 나섰습니다. 경찰청이 마련한 '가상자산 압수물 관리체계 개선 계획'에 따르면, 향후 압수한 가상자산을 준비·압수·보관·송치 등 단계별로 세밀하게 분류해 관리하는데요. 가상자산 압수 현황도 월 단위로 파악하고, 압수한 가상자산을 '가상자산사업자'에게 위탁 보관하는 '위탁보관 제도' 도입도 추진합니다. 경찰청 훈령을 제정해 가상자산 압수·보관 규칙을 마련하고, 압수 단계별 준수 사항을 명시한 매뉴얼을 현장에 배포·교육할 계획이죠.
🏢 국세청, 결국 대국민 사과: 국세청도 지난 1일 대국민 사과문을 발표하며 고개를 숙였습니다. 국세청은 이번 사고의 원인을 무지에 의한 부주의로 보고 잘못을 시인했는데요. 향후 보안체계 전반에 대한 외부 진단을 실시하고, 대외 공개 시 민감 정보 유출을 막기 위한 사전심의 등 내부통제를 강화하겠다고 덧붙였습니다.
⚖️ 정부 차원 실태 점검 예고: 구윤철 부총리 겸 재정경제부 장관도 재발 방지를 약속하고 나섰습니다. 구 부총리는 금융위원회·금융감독원 등 관계기관과 함께 체납자에게 압류한 디지털자산 현황 및 관리 실태를 점검할 뜻을 밝혔는데요. 구 부총리는 "법 집행 과정에서 보유하게 된 것 외에는 디지털자산을 보유하고 있지 않다"라고도 덧붙였죠.