[오늘과 내일/장원재]정부가 코인을 잃어버리는 세 가지 방법

장원재 논설위원

국세청은 지난달 26일 양도소득세 체납자의 가상화폐가 저장된 USB메모리 4개를 압류했다며 사진과 동영상을 공개했다. 그런데 사진 속 USB 보관함 덮개에는 영어 단어 24개가 빼곡히 적혀 있었다. ‘마스터키’로 불리는 니모닉 코드(Mnemonic Code)였다. 니모닉 코드만 알면 USB가 없어도 코인을 복구할 수 있다는 사실을 몰랐던 것이다.

결국 다음 날 새벽 국세청 코인 지갑에서 해커의 지갑으로 69억 원 상당의 ‘PRTG 코인’이 빠져나갔다. 유출 사실이 보도되며 부담을 느낀 해커가 이튿날 새벽 코인을 돌려놨지만 불과 2시간 반 만에 다른 해커가 또 가져갔다. 국세청은 두 번이나 털린 후에야 “원본 사진을 공개한 건 변명의 여지 없는 잘못”이라며 고개를 숙였다.

공교롭게도 국세청은 가상화폐 압류 브리핑에서 압류 물품 수장고도 처음 공개했다. 명품 가방과 시계, 고가의 위스키가 가득한 창고는 10cm 철문으로 이중 삼중 잠긴 철통 보안 상태였다. 그런 국세청이 수십억 원이 든 가상자산 금고 비밀번호를 “누구든 가져가라”는 식으로 만천하에 공개한 걸 국민은 어떻게 받아들여야 할까.

눈 뜨고 코인을 털린 건 국세청뿐이 아니다. 올 들어 광주지검은 400억 원, 서울 강남경찰서는 20억 원 상당의 비트코인을 탈취당한 사실이 드러났다. 코인이 사라진 걸 광주지검은 반년, 강남서는 4년 만에 알았다고 한다. 어떻게 이런 일이 가능했을까.

눈 뜨고 코인 털린 국세청과 검경

광주지검은 피싱에 당했다. 2021년 불법 도박사이트 관계자로부터 압수한 비트코인을 보관하던 광주지검은 지난해 8월 잔액 확인을 위해 코인 지갑 사이트에 접속했다. 그런데 접속한 사이트가 코인 지갑 업체로 위장한 피싱 사이트였다. “USB를 꽂고 니모닉 코드를 입력하라”는 지시에 따르자 순식간에 비트코인 320개가 빠져나갔다. 사이트 주소만 확인했다면, 잔액 조회에는 니모닉 코드가 필요 없다는 사실만 알았다면 막을 수 있었던 피해였다.

강남서의 피해는 광주지검 사건 이후 검경의 압류 코인 일제 점검에서 드러났다. 가상자산 업체 해킹 사건을 수사하던 중 압수한 비트코인 22개가 사라진 것이다. “경찰서 코인 지갑에 보관하라”는 내부 지침을 어기고 수사를 요청한 업체 지갑에 보관한 게 화근이었다. 경찰은 자금난에 시달리던 업체 운영자가 비트코인을 빼돌린 것으로 보고 있다.

비유하자면 국세청은 압수품을 거리 한복판에 두고 자리를 비운 틈에 도둑맞았고, 검찰은 피싱에 당해 자기 손으로 갖다 바쳤으며, 경찰은 민간인에게 맡겨 놨다가 잃어버렸다. 가상자산에 대한 기초 지식만 있어도 막을 수 있었던, 하나같이 어이없는 사고였다. 얼마나 무방비였으면 처음 국세청 코인을 탈취했던 해커가 경찰과 언론에 낸 자술서에서 “폐지 줍는 심정으로 가져갔다”고 했겠나.

“압류 코인, 폐지 줍듯 가져갔다”

검찰이 잃어버린 비트코인은 수사가 본격화되자 해커가 돌려줬다. 하지만 국세청과 경찰이 탈취당한 코인의 행방은 여전히 오리무중이다. 특히 국세청의 경우 도난당한 코인의 원주인인 체납자가 양도세 납부를 위한 부동산 매각을 진행 중이어서, 최악의 경우 잃어버린 코인을 국민 혈세로 보전해 줘야 할 수도 있다.

범죄는 국경과 온·오프라인의 경계를 벗어난 지 오래다. 해외에서 텔레그램으로 범죄를 사주하고, 수익을 가상화폐로 바꿔 은닉하는 건 이제 범죄의 상식이다. 사이버 도박장 소프트웨어가 공개된 ‘오픈 소스’라는 말에 “가게 문 닫기 전에 빨리 가자”고 나서던 영화 ‘범죄도시’ 속 마석도 형사의 수준으론 범죄를 막는 것도, 범죄수익을 환수하는 것도 어렵다. 사정기관 담당자들의 가상자산 이해도를 높이기 위한 교육 훈련이 시급해 보인다.