“앗 보도자료에 마스터키가”…국세청 “변명 여지 없는 잘못” 사과
국세청이 보도자료에 노출한 암호화폐 지갑 복구 코드인 ‘니모닉 코드’를 보고 호기심으로 암호화폐 탈취를 시도했다는 신고가 접수돼 경찰이 진위를 파악하고 있다. 수사기관의 암호화폐 압수물 관리 부실에 더해 세무당국의 암호화폐 관리 무지가 도마 위에 올랐다.
경찰청 사이버테러대응과는 지난달 28일 “국세청이 보도자료에 니모닉 코드를 노출해 호기심이 생겨 암호화폐 탈취를 시도했다”는 온라인 신고를 접수, 구체적인 경위를 조사하고 있다. 신고자 A씨는 암호화폐 탈취 이튿날 이를 원상 복구했다고 주장한 것으로 알려져 있다. 경찰은 신고 내용의 신빙성과 전송 기록 등을 살필 계획이다.
국세청은 1일 언론 메시지를 내고 “가상자산 민감정보가 포함된 사실을 인지하지 못하고 원본사진을 부주의하게 언론에 제공한 결과 발생한 것으로, 변명의 여지 없이 국세청의 잘못"이라고 사과했다. 구윤철 경제부총리도 X(옛 트위터)에 “정부·공공기관의 디지털자산 현황 및 관리 실태를 점검하고 디지털 자산 보안 관리 강화 등 재발 방지 방안을 조속히 마련·시행하겠다”고 밝혔다.
앞서 국세청은 A씨가 자진 신고하기 전인 지난달 27일 고액 체납자가 보유하던 암호화폐 콜드월렛(Cold Wallet·USB 같이 온라인에 연결되지 않고 암호화폐를 보관하는 외부 저장 장치)에서 압류한 암호화폐가 외부로 빠져나갔다며 사건을 경찰에 수사 의뢰했다. 국세청이 체납자에게 압류했다가 유출된 암호화폐는 PRTG(Pre-Retogeum) 토큰 400만개로 시가 69억원에 달한다.
국세청 암호화폐 탈취 배경엔 지난달 26일 국세청이 배포한 ‘고액체납자 추적 특별기동반 성과’ 보도자료가 있다. 이 보도자료엔 수억원의 양도소득세를 체납한 B씨의 주소지 서랍장에서 콜드월렛 4개를 발견해 압수했다는 내용이 담겼다. 문제는 보도자료에 첨부한 사진 한 장이다. 이 사진에서 콜드월렛을 분실했을 경우 복구할 수 있는 ‘마스터 키’인 니모닉 코드가 고스란히 노출됐다.
━
보도자료에 '니모닉 코드' 노출
조재우 한성대 교수(블록체인연구소장)가 자신의 X 계정에 공개한 코인 이동 경로를 살펴보면, 국세청 보도자료가 공개된 26일 오후 7시43분부터 오후 8시13분 사이 PRTG 토큰 총 400만개가 한 암호화폐 지갑으로 옮겨졌다. 이후 27일 낮 12시6분쯤 400만개가 또 다른 지갑으로 이동했다.
최근 서울 강남경찰서에서 벌어진 비트코인 22개 탈취 사건도 니모닉 코드 관리 부실에서 발생했다. 경기북부경찰청 사이버수사과는 지난달 27일 강남서에서 원래 고소인이던 퀸비코인 실운영자 C씨를 비트코인 탈취의 주범으로 보고, 정보통신망법상 컴퓨터 등 이용사기 등 혐의로 구속했다.
강남서는 C씨가 고소한 코인 유출 사건과 관련해 2021년 11월 비트코인 22개(현 시세 20억여원)를 임의 제출 형태로 압수한 뒤 C씨 측이 제공한 콜드월렛에 보관했는데, 압수 6개월 뒤 C씨가 미리 알고 있던 니모닉 코드로 비트코인을 탈취했다는 것이다.
━
강남경찰서, 광주지검에서도 니모닉 코드 부실 관리
경찰은 뒤늦게 지난달 23일부터 가상자산 압수물 관리체계 개선 계획을 세워 전국 경찰관서에서 시행하게 했다. 유출 사건이 재발하지 않도록 올해 안에 압수한 암호화폐를 위탁 보관 전문 사업자에게 맡기고, 가상자산 압수 보관 규칙도 제정하겠다는 방침이다.
경찰 관계자는 “콜드월렛 관리 책임자를 증거물 관리자와 담당 수사관 2인으로 지정하고, 보안 설정 시 복구 구문(니모닉 코드)과 비밀번호를 담당자별로 분할해 관리할 것”이라며 “매월 수사 책임자가 암호화폐 주소 잔액을 조회, 점검하는 등 압수·보관·송치 등 단계별 관리 체계를 마련했다”고 했다.
손성배([email protected])