압류 코인 ‘비번’ 흘린 국세청… 하루만에 거액 유출

고액 체납자 자산 압류 홍보하려다
‘니모닉 코드’ 노출된 보도자료 배포
“호기심에 탈취” 주장 누리꾼 등 수사
국세청 “인지 못해… 변명 여지 없어”

국세청이 지난달 26일 배포한 보도자료에 담긴 사진. 압류한 가상자산의 인출용 비밀번호인 니모닉 코드가 그대로 노출돼 있다. 사진 출처 국세청 보도자료

국세청이 고액 체납자의 자산을 압류한 성과를 보도자료로 홍보하다가 가상자산(코인)의 인출용 비밀문구를 통째로 노출했다. 이로 인해 압류한 코인 약 69억 원어치가 하루 만에 유출됐다. 최근 검찰과 경찰에 이어 국세청까지 관리하던 코인을 털리면서 정부의 관리 체계에 근본적인 보안 대책이 필요하다는 지적이 나온다.

● 코인 ‘보안카드’까지 배포한 국세청

1일 경찰과 국세청에 따르면 경찰청 사이버테러수사대는 국세청의 코인 유출 사건과 관련해 입건 전 조사(내사)에 착수했다. 국세청은 지난달 26일 고액 체납자 124명으로부터 81억 원을 징수했다는 내용의 보도자료를 배포했다. 문제는 한 양도소득세 체납자로부터 코인 지갑(USB)을 압수한 사례를 소개하면서 해당 코인의 인출용 비밀번호인 ‘니모닉 코드’가 적힌 종이까지 모자이크 없이 사진에 포함한 것이다. 해당 자료는 국세청 홈페이지에서는 삭제됐지만 정부 공식 정책 홍보 창구인 ‘대한민국 정책브리핑’에는 그대로 남아 있다.

니모닉 코드는 코인 지갑을 분실했을 때 자산을 복구하는 24개의 영어 단어 조합으로, 은행이나 증권 계좌용 보안카드와 비슷한 기능을 한다. 실제로 국세청이 보도자료를 공개한 지 하루 만인 지난달 27일 해당 코인 지갑에 보관돼 있던 ‘PRTG 코인’ 400만 개가 신원 미상의 지갑으로 전량 이체돼 유출됐다. 유출 시점 기준으로 480만 달러(약 69억 원) 상당이다. 다만 PRTG 코인은 특정 거래소에서만 거래되기 때문에 실제 거래가 이뤄지면 자산이 동결될 가능성이 크다고 한다.

해당 사진은 해상도가 낮아 맨눈으로는 글자를 알아보기 어렵지만 생성형 인공지능(AI)을 통하면 내용을 판독할 수 있다. 니모닉 코드는 2048개의 고정된 단어 목록을 사용하는 표준 규격 ‘BIP-39’를 이용하기 때문에 일부 철자만 판독해도 나머지를 추정할 수 있기 때문이다. 국세청은 해상도가 높은 원본 사진을 따로 보관하고 있고, 이를 일부 언론에도 제공했기 때문에 해커가 이를 입수했을 가능성도 있다.

국세청이 지난달 28일 경찰에 수사를 의뢰하자 한 누리꾼이 ‘노출된 니모닉 코드를 보고 내가 호기심에 탈취했다’고 주장하기도 했다. 경찰은 이 주장의 진위를 조사하는 등 유출 경위를 조사하고 있다.

● “터질 게 터졌다” 허술한 관리 실태

국세청은 이달 1일 “가상자산 관련 체납자의 정보가 포함된 사실을 인지하지 못했다. 변명의 여지 없이 국세청의 잘못”이라며 사과했다. 구윤철 부총리 겸 재정경제부 장관은 소셜미디어에 “관련 부처와 함께 정부와 공공기관의 가상자산 보유 현황과 관리 실태를 점검하고 보안 관리 강화 등 재발 방지 대책도 조속히 마련하겠다”고 밝혔다.

이번 사건은 정부 부처의 코인 관리가 얼마나 허술한지 단적으로 드러내는 사례라는 지적이 나온다. 광주지검은 2023년 1월 경찰로부터 넘겨받아 보관해온 압수품인 비트코인 320개를 분실한 사실을 올 1월 확인했고, 서울 강남경찰서도 최근 압수해 보관하던 비트코인 22개를 해킹당했다. 두 사건 모두 니모닉 코드를 통한 유출이었다. 강형구 한양대 파이낸스경영학과 교수는 “모든 공공기관이 보유한 코인의 관리 실태를 외부 전문가 참여하에 감독해야 한다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “압수와 보관, 폐기 등에 대한 정부 차원의 가이드라인이 필요하다”고 했다.


권구용 기자 9dragon@donga.com
조승연 기자 cho@donga.com
세종=이상환 기자 payback@donga.com