국세청이 고액 체납자의 자산 압류 성과를 홍보하는 과정에서 가상자산 지갑의 인출용 비밀문구를 그대로 노출해, 압류한 코인 수십억 원어치가 유출되는 사고가 발생했습니다. 검찰과 경찰에 이어 국세청까지 압수·보관 중이던 가상자산이 잇따라 유출되면서 정부의 관리 체계 전반에 대한 점검이 필요하다는 지적이 나옵니다.

지난 1일 경찰과 국세청에 따르면 경찰청 사이버테러수사대는 국세청의 코인 유출 사건과 관련해 입건 전 조사에 착수했습니다. 국세청은 지난달 26일 고액 체납자 124명으로부터 81억 원을 징수했다는 내용의 보도자료를 배포했습니다. 이 과정에서 한 양도소득세 체납자로부터 코인 지갑을 압수한 사례를 소개하며, 해당 지갑의 인출용 비밀번호인 '니모닉 코드'가 적힌 종이를 모자이크 없이 사진에 포함했습니다.

니모닉 코드는 가상자산 지갑을 복구할 수 있는 24개의 영어 단어 조합으로, 사실상 계좌 보안카드와 같은 역할을 합니다. 보도자료 공개 다음 날인 지난달 27일, 해당 지갑에 보관돼 있던 'PRTG 코인' 400만 개가 신원 미상의 지갑으로 전량 이체됐습니다. 유출 당시 시세 기준 약 480만 달러, 우리 돈으로 69억 원 규모입니다.

국세청이 지난달 26일 배포한 보도자료에 담긴 사진. 압류한 가상자산의 인출용 비밀번호인 니모닉 코드가 그대로 노출돼 있다. 국세청 보도자료 캡처

해당 코인은 특정 거래소에서만 거래가 가능한 것으로 알려졌습니다. 실제 거래가 이뤄질 경우 자산 동결 가능성도 거론됩니다. 다만 이미 지갑에서 빠져나간 만큼 회수 여부는 수사 결과에 달려 있습니다.

문제가 된 사진은 해상도가 낮아 육안으로는 단어를 식별하기 어려운 상태였으나, 생성형 인공지능을 활용하면 일부 철자를 기반으로 전체 문구를 추정할 수 있다는 분석이 나옵니다. 니모닉 코드는 2048개 단어 목록을 사용하는 국제 표준 규격 'BIP-39'에 따라 구성되기 때문에, 일부 단서만으로도 복원이 가능하다는 설명입니다. 국세청은 해상도가 높은 원본 사진을 별도로 보관하고 있었고 일부 언론에도 제공한 것으로 알려졌습니다.

국세청이 지난달 28일 경찰에 수사를 의뢰한 이후, 한 누리꾼이 "노출된 니모닉 코드를 보고 호기심에 탈취했다"고 주장하기도 했습니다. 경찰은 해당 주장의 진위 여부를 포함해 유출 경위를 조사하고 있습니다.

국세청은 1일 "가상자산 관련 체납자 정보가 포함된 사실을 인지하지 못했다. 변명의 여지 없이 잘못"이라며 공식 사과했습니다. 구윤철 부총리 겸 재정경제부 장관은 소셜 미디어를 통해 "정부와 공공기관의 가상자산 보유 현황과 관리 실태를 점검하고, 보안 관리 강화 등 재발 방지 대책을 마련하겠다"고 밝혔습니다.

이번 사건은 정부 부처의 가상자산 관리 실태가 허술하다는 비판으로 이어지고 있습니다. 광주지검은 2023년 1월 경찰로부터 넘겨받아 보관해 온 압수 비트코인 320개를 분실한 사실을 올해 1월 확인했고, 서울 강남경찰서도 최근 압수 보관 중이던 비트코인 22개를 해킹당한 바 있습니다. 두 사건 모두 니모닉 코드를 통한 유출로 파악됐습니다.

기사의 이해를 돕기 위한 자료 사진 / 사진=인사이트

전문가들은 가상자산 압수·보관 체계 전반에 대한 재정비가 필요하다고 지적합니다. 강형구 한양대 파이낸스경영학과 교수는 "공공기관이 보유한 가상자산의 관리 실태를 외부 전문가 참여 하에 점검해야 한다"고 말했습니다.

황석진 동국대 국제정보보호대학원 교수는 "압수부터 보관, 폐기까지 전 과정에 대한 정부 차원의 명확한 가이드라인이 필요하다"고 밝혔습니다.