한국조세정책학회장을 맡고 있는 오문성 한양여대 세무회계학과 교수는 27일 이데일리와의 전화 인터뷰에서 국세청이 고액·상습 체납자들로부터 압류한 400만개(480만달러, 69억원)의 가상자산을 치명적인 실수로 탈취당한 사건에 대해 “핵심은 국세청의 무지 때문에 압류된 코인이 털렸다는 사실”이라며 이같이 말했다.
(자료=국세청)
국세청은 고액체납자 압류 사실을 알리는 지난 26일 보도자료에 USB 형태의 콜드월렛을 공개하면서 니모닉(사진 왼쪽)도 함께 보여줬다. 보도자료에 첨부된 사진은 해상도가 낮아 니모닉 코드를 쉽게 확인하기 어렵기 때문에 일부 언론에만 배포된 고해상도 사진을 통해 유출됐을 가능성도 제기된다. (자료=국세청)
비트코인과 같은 가상자산의 개인키는 일반인이 기억하기 어려운 256비트 크기의 숫자다. 사람이 이를 모두 기억하거나 일일이 적기 어렵기 때문에 12~24개 영어 단어로 구성된 문구를 패스워드처럼 사용한다. 이것이 바로 니모닉 코드다. ‘기억을 돕는 것’이란 영어 단어 뜻인 니모닉은 그리스 신화의 기억의 여신 므네모시네 (Mnemosyne)에서 유래했다.
요약하자면 니모닉은 은행의 보안카드 패스워드처럼 가상자산 지갑을 복구하고 자산을 통제할 수 있는 일종의 ‘마스터 비밀번호’라고 보면 된다. 12~24개의 영어 단어로 구성된 이 코드만 알면 전 세계 어디서든 해당 지갑에 접근해 자산을 빼돌릴 수 있다.
비유하자면 이번에 국세청이 보도자료 사진 배포를 통해 니모닉 코드를 노출한 것은 은행 금고의 비밀번호를 공개하고 돈을 털어가라고 홍보한 것과 같다. 실제로 국세청이 니모닉 코드를 노출한 이후 해당 지갑에 보관돼 있던 400만개의 PRTG(Pre-Retogeum) 코인이 신원 미상의 지갑으로 전량 이체돼 털려 버렸다.
관련해 오문성 교수는 “니모닉 코드를 노출한 순간 이미 압류 가상자산은 누군지도 모르는 사람에게 털린 것과 마찬가지”라며 “보도자료 배포나 사전 브리핑 과정에서 단 한 명의 국세청 직원도 ‘니모닉은 절대 공개하면 안 된다’고 지적하지 않았다는 점이 더욱 황당하다”고 말했다.
국세청 국세정보공개심의위원장을 맡았던 오 교수는 “2년 전 국세청에 ‘가상자산 과세를 하려면 태스크포스(TF)를 만들어 가상자산에 대한 기본적인 공부부터 해야 한다’고 조언했지만 이를 진지하게 받아들이지 않았고 이번에 이같은 큰 일이 벌어진 것”이라고 꼬집었다.
오 교수는 “가상자산에 대한 기본 지식조차 없는 국세청 현실이 이번 사건을 통해 여실히 드러났다”며 “이런 상황에서 어떻게 사고 없이 과세를 제대로 할 수 있다고 믿을 수 있는가”라고 반문했다.
그는 “지금 필요한 것은 과세가 아니라 코인 공부”라며 “블록체인, 가상자산의 기본조차 이해하지 못하면서 어떻게 과세를 하겠다는 말인가”라고 되물었다. 현행 소득세법에 따라 국세청은 내년 1월부터 연간 250만원을 초과하는 가상자산 소득에 대해 22% 세율로 소득세를 부과·징수할 예정이다. 다음은 오 교수와의 일문일답 전문이다.
오문성 한양여대 세무회계학과 교수. △서강대 경영학 학사 △서울대 대학원 경영학(회계학) 석사 △고려대 대학원 법학(조세법) 박사 및 경영학(회계학) 박사 △성균관대 국정전문대학원 행정학 박사과정 수료 △가톨릭대 상담심리대학원 심리학 석사 △서강대 정보통신대학원 공학석사(블록체인전공) △공인회계사, 세무사, 증권분석사 △한국조세정책학회 회장 △한국납세자연합회 명예회장 △조세심판원 비상임심판관 △기획재정부 세제발전심의위원 △해양수산과학기술진흥원 비상임이사 △한국자산관리공사 기업회생지원위원회 위원장 △전 국세청 국세정보공개심의위원회 위원장 △전 국세청 국세행정개혁위원회 본위원 △전 국세청 국세심사위원 △전 한국도로공사 비상임이사 △전 국회미래연구원 이사 △블록체인 유튜브 오문성의 Pick Show 운영 중. (사진=이영훈 기자)
△무지 때문이다. 국세청은 체납자들의 코인 압류 소식 등을 홍보하려고 했는데 왜 니모닉 코드까지 보여줬나. 가상자산에 대한 기본 지식이 없던 것이다. 가상자산 쪽을 아는 사람이 보면 정말 어이없는 황당한 일이 벌어진 것이다.
-니모닉이 뭔가?
△니모닉은 쉽게 말해 영어단어로 된 패스워드다. 국세청은 실물 USB 형태의 콜드월렛을 가지고 있으니까 니모닉을 보여줘도 무방하다고 생각했을 수 있다. 그런데 압류한 비트코인은 콜드웰렛 안에 있는 게 아니라 온체인 데이터에 있는 것이다. 누군가 콜드웰렛을 새로 구입하고 니모닉 코드만 입력하면 털어갈 수 있는 구조다. 10만원 안팎의 돈을 들여 콜드웰렛을 산 뒤 69억원을 털어간 셈이다.
따라서 니모닉은 스마트폰, 노트북, 인터넷 블로그나 카페 등 어디에도 노출시키면 안 된다. 해킹당할 수 있어서다. 그래서 3~4개 안팎의 종이 메모에 니모닉을 적어 놓은 뒤 오프라인 어딘가에 숨겨 놓아야 한다.
-국세청은 언론에 “해당 가상자산이 실제로 빠져나갔는지 확인 중”이라고 밝혔는데.
△말 자체가 안 된다. 니모닉을 노출시켜 이미 털린 것이고 찾을 수도 없다. 복구할 수도 없다.
-누가 털어갔는지 정말 알 수 없나?
△누가 털어갔는지 추적이 안 된다. 내국인인지 외국인인지도 알 수 없다. 다만 해커를 제압할 정도의 화이트 해커 수준의 전문가 소행이라고 본다. 또한 대다수 일반인은 니모닉 노출로 털어갈 수 있다는 것을 알아도 실제로 그렇게 하려면 겁이 날 것이다. 그런데도 이렇게 한 것은 국세청 압류 코인을 털어갈 정도로 간 큰 사람이라고 본다.
그리고 털린 게 400만개의 PRTG 코인이다. 비트코인은 시장이 탄탄하기 때문에 다량 매도를 해도 시장에서 티가 잘 안 난다. 반면 69억원 규모의 PRTG 코인을 갑자기 다량 매도하면 가액이 엄청나게 떨어지고 장 자체가 망가질 것이다. 그래서 이번에 400만개의 PRTG 코인을 탈취한 사람은 당장 처분하지 않고 가만히 상황을 보면서 있을 것이다. 탈취한 사람은 사람들이 이번 사고를 잊을만 할 때에 시장에서 티가 안 나게 조금씩 나눠서 팔 것이다. 이런 상황이기 때문에 누가 가져갔는지를 찾는 게 더더욱 힘들다.
-탈취된 코인의 현금화가 힘들다는 얘기도 있는데.
△PRTG 코인이 이른바 잡코인이기 때문에, 현금화로 회수하는 게 쉽지는 않다. 하지만 핵심은 현금화 여부가 아니라 국세청의 무지 때문에 압류된 코인이 털렸다는 사실이다.
-탈취한 사람이 이더리움(ETH)을 먼저 지갑에 입금한 뒤 3차례에 걸쳐 400만 PRTG 코인을 자신의 지갑으로 빼돌렸다. 왜 이같은 방식으로 했을까.
△이더리움을 먼저 지갑에 입금한 것은 전송 수수료(가스비)로 쓰일 돈을 미리 넣어둔 것이다. 세차례 나눠서 보낸 것은 69억원 규모의 큰 금액이니까 돈을 옮기면서 실수하지 않으려고 한 것이다. 일반 코인투자자들도 통상적으로 지갑으로 자금을 옮길 때 작은 금액을 열 차례 안팎으로 나눠서 보낸다. 한 번에 보냈다가 잘못 입력하면 그 돈을 영영 잃어버리기 때문이다.
-광주지검, 서울 강남경찰서에 이어 국세청까지 논란이 이어지고 있는데 압류 코인을 탈취당하지 않으려면?
△압류하자마자 정부가 만든 지갑으로 옮겨 놓아야 한다. 그리고 니모닉을 절대 노출시키면 안 된다. 내부 소행이 아니라면 이런 방식으로 해놓으면 압류된 코인이 털릴 일이 없다.
-이런 상황에서 내년 1월부터 과세를 제대로 할 수 있을까.
△국세청이 가상자산에 대한 기본지식조차 없는 현실이라는 게 이번에 여실히 드러났다. 이런 상황에서 어떻게 사고 없이 과세를 제대로 할 수 있다고 믿을 수 있는가.
-국세청에 제언하고 싶은 점은?
△2년 전에 국세청에 ‘가상자산 과세를 하려면 태스크포스(TF)를 만들어 가상자산 공부부터 해야 한다’고 자문했는데 진지하게 듣지 않고 이번에 이런 큰 일이 벌어진 것이다.
가상자산 과세가 아니라 공부부터 해야 할 때다. 국세청 모든 직원이 가상자산 공부를 할 필요는 없지만, 최소한 관장 부서 직원들은 가상자산에 대해 잘 알아야 한다. 블록체인, 가상자산의 기본조차 이해하지 못하면서 어떻게 과세를 하겠다는 말인가.
