대한민국 국세청이 개인 보안키 유출로 인해 강한 비판에 직면했습니다. 이 실수로 인해 압류된 PRTG 토큰 400만 개(약 480만 달러 상당)가 연이어 도난당했습니다.
이번 사건은 한국 정부가 압류한 디지털 자산을 안전하게 관리할 수 있는지에 대한 심각한 의문을 제기합니다.
실수 연속극
이번 사고는 2월 26일, 고액 체납자 관련 기자회견에서 시작되었습니다. 국세청은 단속 성과를 보여주기 위해 압류된 콜드스토리지 USB 지갑의 사진을 배포했습니다. 그러나 이 사진에는 실수로 자산 접근에 사용되는 24단어짜리 마스터 키인 “니모닉 코드”가 그대로 노출되어 있었습니다.
블록체인 데이터 및 경찰 보고서에 따르면, PRTG 토큰은 24시간 안에 두 차례 도난당했습니다. 첫 번째 유출은 2월 27일 새벽에 발생했습니다. 한 개인이 평범한 투자자임을 주장하며, 노출된 코드를 사용해 해당 지갑에서 자산을 모두 인출했습니다.
놀랍게도, 이 “첫 번째 해커”는 2월 28일 경찰과 언론에 직접 연락했습니다. 그는 너무 쉬워서 “폐지를 주운 것처럼 동전을 가져갔다”고 고백서를 제출했습니다. 그는 곧바로 전량인 PRTG 토큰 4백만 개를 국세청 지갑으로 다시 보냈다고 주장했습니다.
그러나 복구는 오래가지 못했습니다. 반환된 지 두 시간 만에, 두 번째 인물이 같은 취약한 지갑을 노렸습니다. 두 번째 범행자는 잔고 전체를 “가짜 피싱” 활동으로 표시된 다른 지갑으로 옮기는 데 성공했습니다.
자산 운용 시스템 리스크
보안 전문가들은 국세청이 반환된 자산을 안전하게 이전하지 않은 점을 강하게 비판했습니다. 기관은 초기에 자산이 유출된 후, 새로운 안전한 지갑으로 옮기지 않았습니다. 이로 인해 두 번째 범행자가 똑같은 노출된 니모닉 코드를 이용하게 되었습니다.
국세청은 현재 수사가 진행 중이라 구체적 내용을 제공하지 못한다고 밝혔습니다. 그러나 두 번째 유출 시에는 추가 행정적 실수는 없었다고 주장했습니다.
도난당한 자산인 PRTG는 주로 단일 거래소인 MEXC에서 거래됩니다. 전문가에 따르면, 480만 달러 가치는 이론상 수치일 뿐 실제 시장은 비유동적입니다. “실제로 현금화할 수 있는 금액은 수천 달러에 불과할 가능성이 높습니다.” – 한성대학교 조재우 교수. 이처럼 대량 매도가 시도될 경우 PRTG 가격이 즉시 폭락할 것이라고 설명합니다.
정부 사과…대응 나서다
국세청은 3월 1일 공식 사과문을 발표해, 모든 책임을 인정했습니다.
“이번 사고는 전적으로 국세청의 과실입니다.” 라고 기관 측은 말했습니다. 원본 사진의 민감정보가 담긴 채 언론에 제공된 점이 유출 원인임을 밝혔습니다. 외부 보안 감사 및 공개 전 점검 절차 강화를 약속했습니다.
국세청은 경찰 수사를 요청했고, 경찰청 사이버테러대응센터가 예비 조사에 착수했습니다. 경찰은 니모닉이 포함된 고해상도 사진을 받은 언론사와 실제 접근자를 추적 중입니다.
최근 몇 달 사이, 국내 검찰은 압류 중이던 비트코인 320개를 일시적으로 분실했고, 한 경찰서 금고에서도 비트코인 22개가 사라진 사실이 드러났습니다. 이제 한국의 주요 수사기관 세 곳 모두 암호화폐 보관 실패라는 오명을 안았습니다. 분석가들은 범죄자들이 점점 암호화폐를 통한 자금세탁을 늘리는 만큼, 법집행기관의 기술역량과 운영 통제를 신속히 강화해야 한다고 지적합니다.
