잇따른 공공 가상자산 탈취 사고…전문가들 "민간 커스터디 활용해야"

"정부, 가상자산 이해도·관리 역량 떨어져…전문 업체에 맡겨야"

(지디넷코리아=홍하나 기자)검찰과 경찰에 이어 국세청에서도 가상자산 탈취 사고가 발생하면서, 정부의 가상자산 관리 체계가 미흡하다는 지적이 잇따르고 있다. 전문가들은 정부가 압류 등을 통해 확보한 가상자산을 민간 전문 커스터디(수탁) 업체에 맡기는 방안을 적극 검토해야 한다고 제언했다.

3일 지디넷코리아가 접촉한 가상자산 업계 관계자, 정보보안 전문가는 공공기관이 보유한 가상자산을 민간 전문기관에 이관해 체계적으로 관리해야 한다고 강조했다.

황석진 동국대 국제정보보호대학원 교수는 “최근 잇따른 공공 가상자산 탈취 사건은 정부의 가상자산에 대한 이해와 관리 역량이 충분하지 않다는 점을 보여준다”며 “압류한 가상자산을 민간 커스터디 사업자에게 맡기는 방안을 고려해야 한다”고 말했다.

가상자산 탈취 이미지 (사진=챗gpt)

민간 커스터디 업체는 고도화된 보안 시스템과 지갑 접근 통제 체계를 갖추고 있는 반면, 공공기관은 아직 이러한 관리 인프라가 충분히 마련되지 않았다는 지적이다.

김기흥 디지털융합산업협회 회장은 “공공은 민간에 비해 가상자산 지갑 보안에 대한 인식과 대응 체계가 미흡해 해킹에 노출되기 쉬운 구조”라며 “압류 가상자산을 민간 전문 업체에 위탁하는 것이 효율적일 수 있다”고 밝혔다.

해외에서는 이미 민간 수탁 모델을 활용하고 있다. 미국은 2024년부터 가상자산 거래소 코인베이스를 압수 가상자산 수탁기관으로 선정해 관련 자산 보관을 맡기고 있다.

범정부 차원, 가상자산 보관 지침 필요

범정부 차원의 통합 가이드라인이 부재한 점도 문제로 지적된다. 현재 명확한 보관 지침이 없어 상당수 기관이 압류한 가상자산을 별도의 공공 지갑으로 이관하지 않고 기존 압류 지갑에 그대로 보관하는 사례가 많다는 설명이다.

이번 국세청 탈취 사건 역시 체납자로부터 압류한 콜드월렛에 가상자산을 그대로 보관하던 중, 해당 지갑의 새로운 키를 생성할 수 있는 니모닉 코드를 외부에 노출하면서 발생했다. 해커는 노출된 니모닉 코드를 통해 지갑에 접근해 새로운 키를 생성하고, 가상자산을 자신의 지갑으로 이전한 것으로 알려졌다.

업계는 당장 민간 커스터디 활용이 어렵다면 최소한 정부 소유의 별도 콜드월렛을 마련하고, 압류 즉시 해당 지갑으로 이체하는 표준 절차를 구축해야 한다고 강조한다.

조진석 코다 대표는 “공공기관은 가상자산 압류 시 즉시 정부 소유 지갑으로 이체하는 프로세스를 갖춰야 한다”며 “그래야 정부가 해당 자산에 대한 온전한 통제권과 소유권을 확보할 수 있다”고 설명했다.

접근 권한 관리 체계 정비의 필요성도 제기된다. 황석진 교수는 “압수한 가상자산을 별도 지갑으로 이관해 관리하고, 접근 권한에 대한 명확한 인가 체계를 마련해야 한다”고 말했다.

조성일 케이닥 대표 역시 “가상자산 이체 권한이 특정 개인에게 집중될 경우 내부통제가 제대로 작동하지 않을 위험이 있다”며 다중 승인 체계 등 통제 장치 도입 필요성을 강조했다.

홍하나 기자(0626hhn@zdnet.co.kr)