금고 속 USB는 그대로인데…경찰 압수 비트코인 21억원 ‘증발’

물리적 실물 점검에만 치중한 수사기관 보안 체계 ‘구멍’

수사기관의 철통 보안 속에 보관 중이던 압수 비트코인이 흔적도 없이 사라지는 전대미문의 사태가 발생했다. 광주지검에 이어 서울 강남경찰서에서도 보관 중이던 21억원 상당의 비트코인이 유출되면서, 물리적 압수물 관리에만 매몰됐던 수사기관의 ‘디지털 보안 불감증’이 고스란히 민낯을 드러냈다.

수사기관의 ‘디지털 보안 불감증’이 도마 위에 올랐다. 유토이미지 제공

14일 경찰에 따르면, 서울 강남경찰서는 지난 2021년 11월 범죄 관련자로부터 임의 제출받아 보관해 온 비트코인 22개가 최근 외부로 빠져나간 사실을 확인했다. 현재 시세로 환산하면 약 21억원에 달하는 규모다.

전문가들은 이번 사건의 결정적 원인으로 가상자산 지갑의 마스터키인 ‘니모닉(Mnemonic) 코드’의 관리 부실을 꼽는다. 비트코인을 담아두는 USB 형태의 저장장치인 ‘콜드월렛’은 그 자체에 코인이 들어있는 것이 아니라, 블록체인상의 자산을 움직일 수 있는 ‘개인 키(Private Key)’를 생성하고 저장하는 장치일 뿐이기 때문이다.

가장 유력한 유출 경로는 니모닉 코드의 복제다. 콜드월렛은 장치 분실에 대비해 12~24개의 영어 단어로 된 복구 문구(니모닉)를 제공하는데, 이 단어 조합만 알면 전 세계 어디서든 똑같은 지갑을 복제할 수 있다.

수사 과정에서 피의자로부터 이 코드를 제출받아 기록하는 과정이 화근이었을 가능성이 크다. 보안이 취약한 내부망에 사진이나 텍스트 형태로 저장했다가 해킹을 당했다면, 경찰이 금고 속에 보관하던 USB는 이미 ‘알맹이 없는 껍데기’가 된 셈이다. 경찰이 진짜 열쇠를 들고 안심하는 사이, 범인은 이미 복제 열쇠로 뒷문을 열고 자산을 빼내 간 꼴이다.

이번 사건이 오랫동안 발각되지 않은 이유는 경찰의 압수물 관리 지침이 철저히 ‘실물’ 중심이기 때문이다. 현행 규칙에 따라 담당자는 압수물이 보관된 금고의 상태나 물리적 장치의 파손 여부만 정기적으로 점검한다.

이번 사례처럼 콜드월렛 장치가 금고 안에 그대로 놓여 있는 상황에서는 데이터만 빠져나가는 ‘디지털 증발’을 감지할 방법이 없다. 특히 해당 사건이 수사 중지 상태였다는 점을 고려하면, 수사관들이 블록체인상의 실시간 잔액을 대조하지 않는 한 유출 사실을 인지하기는 불가능에 가깝다.

일각에서는 내부 관계자의 소행 가능성도 제기된다. 장치는 그대로 둔 채 자산만 인출했다는 점에서 지갑 접근 권한이나 니모닉 코드를 직접 다룰 수 있는 인물이 가담했을 수 있다는 의혹이다. 수사기관의 디지털 자산 관리 체계에 대한 근본적인 재설계가 시급하다는 지적이 나오는 이유다.

김수연 기자 sooya@segye.com