[경제일보] 국세청이 체납자로부터 압류한 69억원 규모의 가상자산이 보도자료 사진에 지갑 복구코드(니모닉 코드)가 그대로 노출되는 실수로 외부에 탈취되는 초유의 사고가 발생했다. 공공기관이 압류한 디지털 자산의 기본적인 보안 관리조차 제대로 이뤄지지 않았다는 사실이 드러나면서 국가기관의 가상자산 관리 체계 전반에 대한 논란이 커지고 있다.
사건의 발단은 지난달 26일 국세청이 배포한 ‘고액체납자 추적 특별기동반’ 성과 보도자료였다. 국세청은 체납자로부터 압류한 400만개의 PRTG 코인(당시 시세 기준 약 69억원)의 현장 수색 사진을 공개했는데 이 사진 속에 콜드월렛을 복구할 수 있는 니모닉 코드가 그대로 노출된 것으로 확인됐다.
니모닉 코드는 12개 또는 24개의 영단어로 구성된 일종의 ‘지갑 복구 비밀번호’로, 해당 코드만 있으면 전 세계 어디서든 전자지갑을 복원해 자산을 통제할 수 있다. 블록체인 업계에서는 니모닉 코드 유출이 곧 자산 탈취로 이어질 수 있는 치명적인 보안 사고로 간주된다.
실제로 보도자료 공개 이후 외부 인물이 니모닉 코드를 이용해 지갑에 접근하면서 압류된 가상자산이 탈취되는 사고가 발생했다. 이후 탈취범이 자수하며 자산을 다시 돌려놓는 일이 있었지만 국세청이 즉시 지갑을 변경하거나 자산을 다른 지갑으로 옮기는 조치를 취하지 않으면서 약 2시간 뒤 또 다른 해커에게 2차 탈취를 당하는 상황까지 벌어졌다.
국세청의 가상자산 관리 체계가 사실상 준비되지 않은 상태였다는 지적도 제기된다. 11일 국회 재정경제기획위원회 전체회의에서 이성진 국세청 차장은 “가상자산에 대한 경험과 이해, 관리 노하우가 부족했다”고 인정했다.
국회에서도 질타가 이어졌다. 박성훈 국민의힘 의원은 “국세청이 가상자산 압류를 시작한 지 5년이 지났는데도 강제징수 업무 매뉴얼에 니모닉 관리 관련 규정조차 없었다”며 “기본적인 보안 인식조차 부족했던 것 아니냐”고 지적했다.
이 같은 사고가 반복되는 배경에는 공공기관의 가상자산 관리 체계가 여전히 초기 단계에 머물러 있다는 구조적 문제가 자리 잡고 있다는 지적이 나온다. 국내에서 세무당국과 수사기관이 가상자산 압류를 본격적으로 시작한 것은 2021년 이후지만 디지털 자산 특성에 맞는 별도의 보안 체계나 관리 매뉴얼은 충분히 구축되지 않았다는 평가다. 가상자산은 계좌 기반 금융자산과 달리 지갑의 개인키나 복구코드 관리가 사실상 자산 보안의 핵심을 이루는 구조다. 그럼에도 일부 공공기관에서는 이를 기존 동산 압류나 현금 보관과 유사한 행정 절차로 처리하는 경우가 적지 않았다는 지적이 나온다.
전문 인력과 기술 인프라 부족 역시 반복되는 사고의 원인으로 꼽힌다. 블록체인 지갑 구조와 키 관리 방식은 높은 수준의 기술적 이해가 필요한 영역이지만 공공기관 내부에는 이를 전담할 전문 인력이 충분하지 않은 것이 현실이다. 가상자산을 압류한 뒤 실제 관리 단계에서 외부 보안 시스템이나 전문 커스터디 인프라를 활용하기보다 내부 행정 절차에 의존하는 방식도 취약 요인으로 지목된다.
미국과 유럽연합(EU) 등 주요 국가에서는 사법기관이나 세무당국이 압류한 가상자산을 전문 수탁기관(커스터디)에 보관하거나 별도의 보안 관리 체계를 구축해 운영하고 있다. 반면 국내에서는 가상자산 압류 이후 자산 보관과 관리에 대한 구체적인 표준 매뉴얼이 충분히 마련되지 않은 상태라는 점이 문제로 지적된다.
뒤늦게 사태 수습에 나선 국세청은 지난 9일 ‘가상자산 관리 개선 태스크포스(TF)’를 구성하고 디지털 자산 전담 인력 확충과 통합 분석 시스템 구축, 외부 전문 수탁기관 활용 방안 등을 검토하겠다고 밝혔다.
전문가들은 외부 수탁기관 활용 등 전문화된 보관 체계 도입이 필요하다고 보고 있다. 조재우 한성대 블록체인연구소 교수는 “가상자산은 지갑 관리와 키 보안이 핵심인 만큼 전문 커스터디 기관을 활용하는 것이 현실적인 대안”이라고 말했다. 황석진 동국대 정보보호대학원 교수도 “경찰과 검찰, 지자체 등 모든 공공기관이 공통으로 적용할 수 있는 범정부 차원의 가상자산 관리 가이드라인 마련이 시급하다”고 강조했다.
이번 사고는 가상자산을 실제 행정 자산으로 관리해야 하는 공공기관의 준비 수준이 아직 충분하지 않다는 점을 드러낸 사례로 평가된다. 전문가들은 제도적 관리 체계 정비와 함께 공공 부문의 디지털 자산 보안 역량을 전반적으로 강화할 필요가 있다고 지적한다.
한편 이날 국회 업무보고에는 임광현 국세청장이 해외 출장 일정으로 참석하지 않았다.
Copyright © 경제일보, 무단전재·재배포 금지
