코인 400만개 털린 국세청…이대로 가면 또 털린다

조재우 한성대 블록체인 센터장 인터뷰
보도자료 사진에 니모닉 노출, 69억 압류 코인 털려
“가상자산에 대한 무지탓, 공공 전반의 시스템 문제”
“주식 허용하면서 코인 불허하는 공직 제도도 원인”
“빨리 관리 매뉴얼 만들고 가상자산 금지 제도 바꿔야”

[이데일리 최훈길 기자] “이번 국세청의 코인 분실 사건은 국세청만의 문제가 아니라 공공 전반의 문제다.”

조재우 한성대 사회과학부 교수(블록체인 센터장)는 28일 이데일리와의 전화 인터뷰에서 국세청이 고액·상습 체납자로부터 압류한 400만개(480만달러, 69억원)의 가상자산을 치명적인 실수로 탈취당한 사건에 대해 “원인은 시스템과 전문성 부재 때문”이라며 “이번 사태를 계기로 공공 전반의 가상자산 관리 시스템을 제대로 정비해야 한다”며 이같이 말했다.

세종시에 위치한 국세청 본청. (사진=이데일리DB)

앞서 국세청은 ‘고액체납자 추적 특별기동반’을 가동해 고액체납자 124명으로부터 체납액 81억원을 압류했다고 지난 26일 밝혔다. 보도자료에는 현장수색 결과와 사진이 담겼다.

문제는 수억원의 양도소득세를 납부하지 않은 C씨로부터 가상자산 콜드월렛 4개를 압류한 사실을 설명하는 과정에서 발생했다. 보도자료 사진에 가상자산 지갑의 핵심 보안 정보인 ‘니모닉(mnemonic)’ 코드가 고스란히 노출된 것이다.

(자료=국세청)

국세청은 고액체납자 압류 사실을 알리는 지난 26일 보도자료에 USB 형태의 콜드월렛을 공개하면서 니모닉(사진 왼쪽)도 함께 보여줬다. 보도자료에 첨부된 사진은 해상도가 낮아 니모닉 코드를 쉽게 확인하기 어렵기 때문에 일부 언론에만 배포된 고해상도 사진을 통해 유출됐을 가능성도 제기된다. (자료=국세청)

비트코인과 같은 가상자산의 개인키는 일반인이 기억하기 어려운 256비트 크기의 숫자다. 사람이 이를 모두 기억하거나 일일이 적기 어렵기 때문에 12~24개 영어 단어로 구성된 문구를 패스워드처럼 사용한다. 이것이 바로 니모닉 코드다. ‘기억을 돕는 것’이란 영어 단어 뜻인 니모닉은 그리스 신화의 기억의 여신 므네모시네 (Mnemosyne)에서 유래했다.

요약하자면 니모닉은 은행의 보안카드 패스워드처럼 가상자산 지갑을 복구하고 자산을 통제할 수 있는 일종의 ‘마스터 비밀번호’라고 보면 된다. 12~24개의 영어 단어로 구성된 이 코드만 알면 전 세계 어디서든 해당 지갑에 접근해 자산을 옮길 수 있고 빼돌릴 수도 있다.

비유하자면 이번에 국세청이 보도자료 사진 배포를 통해 니모닉 코드를 노출한 것은 은행 금고의 비밀번호를 공개하고 돈을 털어가라고 홍보한 것과 같다. 실제로 국세청이 니모닉 코드를 노출한 이후 해당 지갑에 보관돼 있던 400만개의 PRTG(Pre-Retogeum) 코인이 신원 미상의 지갑으로 전량 이체돼 털려 버렸다.

28일 경찰청 사이버테러대응과는 국세청으로부터 수사 의뢰를 받아 사건을 배당하고 입건 전 조사(내사)에 착수했다. 경찰은 실제 자산 이동 여부와 유출 경로, 제3자 개입 가능성 등을 집중적으로 들여다보고 있다.경찰은 사안의 중대성을 고려해 사실관계 확인에 속도를 내고 있다.

조재우 교수가 국세청이 배포한 보도자료 사진을 지난 26일 자신의 X 계정(옛 트위터)에 올리면서 "니모닉을 이렇게 사진찍어 보여주면 어떡합니까??"라는 트윗을 올렸다. (사진=조재우 교수 X)

조재우 교수는 지난 27일 자신의 엑스(X·옛 트위터) 계정에 “국세청에서 보도자료로 유출(공개)한 니모닉에서 PRTG 토큰 400만개, 약 480만달러어치(약 69억원)가 탈취된 것을 확인했다”며 이같은 사실을 알리기도 했다.

관련해 조 교수는 이데일리와의 인터뷰에서 “국세청이 코인에 대해 몰랐기 때문에 이같은 사태가 벌어진 것”이라며 “정부 차원에서 공직자들이 사실상 가상자산 투자를 못하게 한 것도 원인이다. 주식 투자는 되는데 코인 투자는 불허하니 코인에 대해 이해하고 접해볼 기회가 없는 것”이라고 진단했다.

조 교수는 “탈취한 사람이 국내 코인 거래소에서 출금한 기록이 있기 때문에 실체가 밝혀질 것이고, 탈취된 코인의 현금화가 어려워 되찾을 수 있다”면서 “이번 사태로 인한 실질적인 피해는 거의 없지만 국세청의 가상자산 관리 문제가 드러난 것”이라고 지적했다.

조 교수는 개선 방안에 대해 “국세청은 압류된 다른 가상자산을 빨리 국세청 지갑으로 옮겨야 한다”며 “그렇지 않으면 이번처럼 니모닉이 노출될 경우 또 털리게 된다”고 지적했다. 이어 △가상자산 압수·압류 매뉴얼 및 제도화 △전문기관 관리 △공직자들의 가상자산 보안 인식 강화 △공직자들의 가상자산 접근성 보장 등을 제안했다. 다음은 조 교수와의 인터뷰 전문이다.

조재우 한성대 사회과학부 교수(블록체인 센터장). (사진=조재우 교수 X)

-이번 국세청 사태에 대해 총평하면?

△이번 국세청의 코인 분실 사건은 국세청만의 문제가 아니라 공공 전반의 문제다. 공공 전반이 가상자산 관리에서 인식, 전문성을 갖기 쉽지 않은 상태다. 가상자산에 대한 상식이 부족한 상황이다. 그래서 검찰, 경찰, 국세청까지 비슷한 사건이 계속 일어나고 있는 것이다. 이번 사태를 계기로 공공 전반의 가상자산 관리 시스템을 제대로 자리 잡아야 한다.

-69억원 상당의 코인이 털린 이유를 어떻게 보나?

△국세청이 코인에 대해 몰랐던 것이다. 국세청은 실물 USB 형태의 콜드월렛을 가지고 있으니까 코인을 탈취당하지 않을 것이라고 생각한 것 같다. 그래서 니모닉을 노출해도 무방하다고 생각했을 수 있다

좀 더 깊이 생각해보면 정부 차원에서 공직자들이 사실상 가상자산 투자를 못하게 한 것도 원인이다. 주식 투자는 되는데 코인 투자는 불허하니 코인에 대해 이해하고 접해볼 기회가 없는 것이다. 공직사회가 가상자산에 대해 배척하는 분위기가 이번과 같은 부작용으로 나타났다고 본다.

(※인사혁신처에 따르면 가상자산 관련 공직자윤리법 시행령 개정안이 2023년 12월부터 시행됐다. 개정안에 따르면 가상자산 관련 정책 입안, 인허가, 조세 부과 징수 등 관련 업무를 담당하는 공무원은 가상자산 보유가 제한된다. 4급 이상 공직자와 재산등록 의무자인 공직자는 재산 등록 시 본인·배우자·직계존비속의 가상자산 보유·형성 과정을 신고해야 한다. 김남국 전 의원(현 더불어민주당 대변인)이 거액의 가상자산을 보유·거래했는데도 재산신고·이해충돌 관리가 제대로 이뤄지지 않았다는 지적이 제기되면서 이같은 법령 정비가 이뤄졌다.)

-누가 털어갔을까?

△현재로선 알 수 없다. 탈취한 사람이 국내 코인 거래소에서 출금한 기록이 있기 때문에 실체가 밝혀질 것이다. 누구인지는 금방 드러날 수 있다. 해커라면 흔적을 안 남길 텐데 흔적이 남아 있는 것을 보면 해커가 아닐 수도 있다.

-털어간 코인을 되찾을 수 있을까?

△탈취해 간 사람이 누구인지 확인되면 찾을 수 있다.

-탈취된 코인의 현금화가 힘들다고 보나?

△그렇다. PRTG 코인은 업비트, 빗썸 등 국내 거래소에 상장이 안 된 코인이다. 나중에 조금씩 분할매도가 팔 수는 있겠지만 오더북(order book, 매도·매수 주문이 쌓여 있는 장부)이 없어 실제로 사줄 사람이 거의 없기 때문에 현금화가 어렵다. PRTG 코인 총 발행량이 1000만개인데 400만개가 특정 주체가 보유한 것이라 팔려도 해도 공급 물량이 너무 많아, 현금화가 거의 불가능하다. 그래서 이번 사태로 인한 실질적인 피해는 거의 없지만 국세청의 가상자산 관리 문제가 드러난 것이다.

-앞으로 어떤 점을 개선해야 하나?

△첫째, 국세청은 압류된 다른 가상자산을 빨리 국세청 지갑으로 옮겨야 한다. 그렇지 않으면 이번처럼 니모닉이 노출될 경우 또 털리게 된다. 둘째, 가상자산을 압수·압류 매뉴얼을 만들고 압수·압류 직후 바로 정부 지갑으로 이전하는 것을 제도화해야 한다. 셋째, 압수·압류한 가상자산을 가상자산 전문기관에 맡겨서 긴밀하게 관리해야 한다. 넷째, 가상자산에 대한 공직자들의 보안 인식을 강화시켜야 한다. 다섯째, 가상자산에 대한 공공의 접근성을 보장해야 한다. 공직자들이 가상자산 투자 경험, 교육 기회가 있어야 한다.

최훈길 (choigiga@edaily.co.kr)