[취재썰] 니모닉의 비밀 : 3대 사정기관 코인 관리실태 추적기

임지은 기자 2026. 3. 7. 07:00
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

비트코인. 〈사진=로이터 연합뉴스〉

비트코인. 〈사진=로이터 연합뉴스〉
강남경찰서, 광주지방검찰청, 그리고 국세청. 3대 사정기관이 압수한 가상자산이 연이어 외부로 빠져나갔습니다. 현재 시세로 따지면 수십억 원에서 많게는 수백억 원에 이르는 규모였습니다.

기관마다 탈취 방식은 조금씩 달랐지만, 공통점은 있었습니다. '콜드월렛', 즉 코인을 보관하던 지갑 USB는 그대로였는데, 그 안에 있던 가상자산만 쏙 사라졌다는 겁니다.

의문이 들었습니다. 정말 단순 분실 사고였을까. 취재진은 코인이 지갑에 어떻게 저장되는지 그 구조부터 다시 들여다봤습니다.

◇ 지갑 압수해놓고, '마스터 키'는 몰랐다

USB 형태의 코인 지갑 '콜드월렛' / 니모닉 코드 〈사진=유튜브 'Ledger' 영상 캡처〉

USB 형태의 코인 지갑 '콜드월렛' / 니모닉 코드 〈사진=유튜브 'Ledger' 영상 캡처〉

세 기관 모두 USB 형태의 지갑, 즉 '콜드월렛'을 압수해 잘 보관하고 있었다는 점을 강조했습니다. 실물만 갖고 있으면 외부에서 가져갈 일이 없다는 인식이 전제로 깔려 있었던 겁니다. 하지만 코인은 실물 지갑을 쥐고 있다고 해서 안전한 자산이 아닙니다. 지갑을 여는 24개의 단어, 이른바 '니모닉 코드'가 핵심입니다.

예시로, '니모닉 코드'는 이렇게 생성됩니다.

1. Member
2. Print
3. Air
4. Bring
...
23. Team
24. Huge

24개 영어 단어만 알고 있으면, 실물 USB 지갑이 없어도 '원격으로' 지갑을 열 수 있습니다. 비밀번호를 잊어도 문을 딸 수 있는 '마스터 키'와 같은 역할입니다.

누군가 이 코드를 알고 있다는 건, 우리집 열쇠를 복사해 넘겨주는 것과 마찬가지인 셈이죠. 그래서 대부분 디지털이 아닌 종이에 직접 24개의 단어를 적어 오프라인으로 보관하는 방법이 권장됩니다. 네트워크상 해킹으로부터 보호해야 하기 때문입니다.

문제는 여기서 시작됐습니다. 탈취 사실이 먼저 드러난 광주지검과 강남경찰서. 두 기관의 설명도 비슷합니다. "지갑은 그대로인데 코인만 사라졌다"는 것이었습니다. 선뜻 납득되지 않았습니다.

그러던 중 한 제보를 받았습니다. 강남경찰서가 해당 비트코인을 확보할 당시, 경찰 소유 지갑이 아닌 외부인이 마련한 지갑에 코인을 보관했고, 그 상태가 4년 가까이 유지됐다는 내용이었습니다.

취재진은 코인 탈취 구조를 전문가와 함께 다시 들여다봤습니다. 실물 USB 지갑을 금고에 보관해놔도, 외부인이 '니모닉 코드'를 알고 있다면, 언제든 전송할 수 있다는 결론이 나왔습니다.

그동안 경위를 자세히 밝히지 않았던 경찰도 JTBC 취재 과정에서 잘못을 인정했습니다. 심지어 "압수한 가상자산은 '경찰 코인지갑(콜드월렛)'으로 옮길 것"이라는 내부 지침이 있었지만, 강남경찰서는 이를 이행하지 않은 점도 확인됐습니다. “외부에서 니모닉 코드만 알면 전송이 가능한 구조였다는 걸 알고 있었느냐”는 질문에, 경찰 관계자는 “당시엔 그런 부분을 잘 모를 때도 많았다”고 답변했습니다.

광주지검 사건은 더 직접적이었습니다. 피싱 사이트에 접속해 24개의 니모닉 코드를 직접 입력해서 넘겨줬다는 게 검찰의 공식 해명입니다. 취재진은 해당 지갑 제작사 '렛저' 공식 홈페이지를 다시 살펴봤습니다. 화면 상단에는 “어떠한 경우에도 니모닉 코드를 입력하지 말라”, "피싱 사이트를 조심하라"는 경고 문구가 버젓이 걸려있었습니다. 검찰이 공식 홈페이지만 잘 확인했어도 이런일은 벌어지지 않았을 겁니다.

광주지검 코인 지갑 주소로 탈취 흐름을 분석하는 취재진

광주지검 코인 지갑 주소로 탈취 흐름을 분석하는 취재진

사실 코인 잔액은 지갑 주소만 있으면 블록체인 사이트에서 누구나 쉽게 조회가 가능합니다. 애초에 잔액을 확인하기 위해 니모닉 코드를 입력할 이유가 없었습니다. 검찰이 코인지갑 잔액 확인방법조차 몰랐던 겁니다.

JTBC가 이 구조를 처음 지목해 보도하자, 기관들도 뒤늦게 '니모닉 코드' 관리 문제를 인정하기 시작했습니다. 처음엔 단순 해킹 가능성으로 설명됐던 사건이, 결국 니모닉코드 관리 부실과 수사 역량의 문제로 드러난 셈입니다.

〈관련 기사〉
[단독] '니모닉 키'로 코인 쓸어갈 때 USB만 지킨 경찰…"해커는 출국"
https://news.jtbc.co.kr/article/NB12286822

[단독] 검찰은 어떻게 낚였나...'사라진 비트코인 320개' 전말
https://news.jtbc.co.kr/article/NB12286821

◇ 사라진 코인 따라가보니... '2차 탈취' 흔적 발견

국세청 코인 탈취 사실이 처음 알려졌을 때, 취재진은 전문가의 도움을 받아 우선 해커의 지갑 주소를 확보해 두었습니다. 이더리움 블록체인 스캔 웹사이트 '이더스캔'에서 지갑 주소만 입력해두면 자산의 흐름을 계속 추적할 수 있기 때문입니다.

국세청 '2차 코인 탈취' 흐름 분석하는 취재진

국세청 '2차 코인 탈취' 흐름 분석하는 취재진

다음 날 취재진은 블록체인 스캔 사이트에서 해커 지갑의 잔액을 다시 확인해봤습니다. 그런데 예상과 다른 숫자가 보였습니다. 잔액이 '0'이 된 겁니다. 불과 몇 시간 전까지만 해도 국세청에서 빠져나간 '4,000,000 PRTG'가 들어 있던 지갑이었습니다.

전송 기록을 따라가보기 시작했습니다. 그런데 예상과 다른 흐름이 보였습니다. 이동한 코인이 다시 국세청에서 압류한 체납자 지갑으로 되돌아간 겁니다. 한 번 탈취된 코인이 원래 지갑으로 반환된 상황. 사라진 코인 320개를 돌려받은 광주지검과 흐름이 똑같았습니다.

그런데 더 황당한 사실을 발견했습니다. 반환된 코인이 얼마 지나지 않아 다시 외부 지갑으로 이동하기 시작한 겁니다. 약 두 시간 반 뒤였습니다. 200만 개, 100만 개, 100만 개씩 세 차례에 걸친 전송 기록이 남아 있었습니다.

결국 국세청에서 압류한 체납자 지갑으로 돌아왔던 400만 개의 코인은 또 다른 지갑으로 전량 빠져나갔습니다. 회수할 수 있는 골든타임을 놓치고 두 차례나 탈취를 당한 겁니다.

〈관련 기사〉
[단독] 해커가 돌려준 '69억 코인' 또 털린 국세청...'페이크 피싱' 지갑 이동
https://news.jtbc.co.kr/article/NB12287705

국세청 '1차 탈취자' 제보 확인하는 취재진

국세청 '1차 탈취자' 제보 확인하는 취재진

그런데 이 사실을 알고난 다음날, 예상치 못한 연락 한 통을 받았습니다. 자신이 바로 '1차 탈취자'라고 주장하는 인물이 JTBC에 제보를 해온 겁니다. 이 인물은 “특별한 해킹 기술은 없는 평범한 투자자"라며, “보도자료에 노출된 니모닉 코드를 보고 지갑에 접근했다”고 토로했습니다. 그러면서 "복구시킨 코인이 다시 탈취된 것으로 보이는데 내가 아니다"고 덧붙이기까지 했습니다.

이 인물은 같은 내용의 자술서를 경찰청 사이버범죄 신고 시스템에도 제출했다고 밝혔습니다. 경찰은 1차 탈취자를 특정해 검거했고 피의사실을 토대로 2차 탈취자를 추적하고 있습니다.

〈관련 기사〉
[단독] JTBC·경찰에 자술서 낸 코인 해커...국세청, 2시간 동안 '무방비'
https://news.jtbc.co.kr/article/NB12287706

◇'니모닉 코드' 이제서야 깨달은 기관들... 뒤늦은 후속 조치


감사원 보도자료

감사원 보도자료

JTBC 보도 이후 후속 대응도 이어지고 있습니다. 감사원은 검찰·경찰·국세청 등 주요 기관의 가상자산 압수·관리 실태에 대한 점검에 착수했습니다. 경찰은 국세청 코인 탈취 사건과 관련해 1차 탈취자를 특정해 검거했고, 2차 탈취자에 대해서도 추적을 이어가고 있습니다.

검경은 가상자산 압수 시 지갑 관리와 니모닉 코드 보안 절차를 다시 정리한 내부 매뉴얼을 마련하고 있습니다. 국세청도 종사 직원들에게 보안 교육을 강화하는 등 재발 방지 대책을 마련하겠다고 사과했습니다.

검찰, 경찰, 국세청. 세 기관이 서로 다른 방식으로 코인을 잃었지만, 취재를 통해 확인된 공통점은 하나였습니다. 지갑은 지키고 있었지만, 정작 자산의 열쇠인 '니모닉 코드'는 제대로 관리되지 않았다는 점입니다.

아직 사건의 전말이 모두 밝혀진 건 아닙니다. 특히 광주지검의 경우 전량을 회수받은 것과는 별개로 경우 누가 코인을 빼갔다가 다시 돌려줬는지 추가로 규명되어야 할 부분도 남아 있습니다.

JTBC는 디지털 자산 시대에 국가 기관들의 수사 및 관리 체계가 제대로 작동하고 있는지, 이 문제를 계속 추적하겠습니다.

〈관련 기사〉
감사원, 코인 털린 검·경·국세청 '3대 사정기관' 점검 착수
https://news.jtbc.co.kr/article/NB12288085

경찰 '국세청 코인 재탈취' 정식 수사... 2차 해커 추적 중
https://news.jtbc.co.kr/article/NB12287846

Copyright © JTBC. 무단전재 및 재배포 금지.

JTBC에서 직접 확인하세요. 해당 언론사로 이동합니다.