国税庁が高額滞納者の資産差し押さえの実績を広報する過程で、暗号資産(コイン)の引き出し用秘密フレーズをそのまま公開し、差し押さえた約69億ウォン相当のコインがわずか1日で流出した。検察や警察に続き、国税庁が管理していたコインまで流出したことで、政府の管理体制に抜本的なセキュリティ対策が必要だとの指摘が出ている。
●70億ウォン相当の「セキュリティカード」を公開した国税庁
1日、警察と国税庁によると、警察庁サイバー捜査隊は国税庁のコイン流出事件について内偵に着手した。国税庁は先月26日、高額滞納者124人から81億ウォンを徴収したとの報道資料を配布した。この中で譲渡所得税滞納者からコインウォレット(USB)を押収した事例を紹介し、当該コインの引き出し用パスワードである「ニーモニックコード」が記された紙を、モザイク処理せず写真に掲載していたことが問題となった。
ニーモニックコードとは、コインウォレットを紛失した場合に資産を復元するための24個の英単語の組み合わせで、銀行や証券口座のセキュリティカードと同様の役割を持つ。実際、国税庁が資料を公開した翌日の先月27日、当該ウォレットに保管されていた「PRTGコイン」400万枚が、身元不明のウォレットに全量送金され流出した。流出時点で480万ドル(約69億ウォン)相当の価値だった。ただし、PRTGコインは特定の取引所でのみ取引されるため、実際に売買が行われれば資産が凍結される可能性が高いという。
当該写真は解像度が低く肉眼では判読しにくいが、生成AIを用いれば内容を復元できるとされる。ニーモニックコードは2048語の固定単語リストを用いる標準規格「BIP-39」に基づくため、一部のつづりが判読できれば残りを推定できるからだ。国税庁は高解像度の原本写真を別途保管しており、これを一部のメディアにも提供していたことから、ハッカーが入手した可能性もある。
国税庁が先月28日に警察へ捜査を依頼すると、あるネットユーザーが「露出したニーモニックコードを見て好奇心で取得した」と主張した。警察は主張の真偽を含め流出経緯を調べている。
●「起こるべくして起きた」ずさんな管理実態
国税庁は1日、「暗号資産関連滞納者の情報が含まれている事実を認識できなかった。弁解の余地なく国税庁の過ちだ」として謝罪した。具潤哲(ク・ユンチョル)副首相兼企画財政部長官はソーシャルメディア(SNS)で「関係省庁とともに政府および公共機関の暗号資産保有状況と管理実態を点検し、セキュリティ管理の強化など再発防止策も速やかに策定する」と明らかにした。。
今回の事件は、政府機関のコイン管理がいかにずさんかを象徴的に示したとの指摘が出ている。光州(クァンジュ)地検は2023年1月に警察から引き継ぎ保管していた押収品ビットコイン320枚を紛失した事実を今年1月に確認し、ソウル江南(カンナム)警察署も最近、押収・保管していたビットコイン22枚をハッキングされた。いずれもニーモニックコードを通じた流出だった。漢陽(ハンヤン)大学ファイナンス経営学科の姜亨求(カン・ヒョング)教授は「すべての公共機関が保有するコインの管理実態を外部専門家の参加の下で監督すべきだ」と述べた。東国(トングク)大学国際情報保護大学院のファン・ソクジン教授は「差し押さえや保管、廃棄に関する政府レベルのガイドラインが必要だ」と指摘した。
クォン・グヨン記者 チョ・スンヨン記者 9dragon@donga.com
About Dong-A Ilbo