민병덕 의원은 28일 이데일리와의 통화에서 “당국이 디지털자산에 대해 너무 모르고 있다”며 “그런데도 디지털자산 전문가 영입도 없고 얘기도 듣지 않으며 규제만 하려고 한다. 이러다 보니 검경에 이어 국세청까지 이런 일이 계속 생기고 있는 것”이라고 말했다.
더불어민주당 디지털자산태스크포스(TF) 민병덕 의원(정무위). (사진=민병덕 의원실)
이번 문제의 발단은 국세청이 지난 26일 발표한 ‘고액체납자 추적 특별기동반’ 성과 보도자료였다. 국세청은 ‘고액체납자 추적 특별기동반’을 가동해 고액체납자 124명으로부터 체납액 81억원을 압류했다고 지난 26일 밝혔다. 보도자료에는 현장수색 결과와 사진이 담겼다.
문제는 수억원의 양도소득세를 납부하지 않은 C씨로부터 가상자산 콜드월렛 4개를 압류한 사실을 설명하는 과정에서 발생했다. 보도자료 사진에 가상자산 지갑의 핵심 보안 정보인 ‘니모닉(mnemonic)’ 코드가 고스란히 노출된 것이다.
(자료=국세청)
국세청은 고액체납자 압류 사실을 알리는 지난 26일 보도자료에 USB 형태의 콜드월렛을 공개하면서 니모닉(사진 왼쪽)도 함께 보여줬다. 보도자료에 첨부된 사진은 해상도가 낮아 니모닉 코드를 쉽게 확인하기 어렵기 때문에 일부 언론에만 배포된 고해상도 사진을 통해 유출됐을 가능성도 제기된다. (자료=국세청)
요약하자면 니모닉은 은행의 보안카드 패스워드처럼 가상자산 지갑을 복구하고 자산을 통제할 수 있는 일종의 ‘마스터 비밀번호’라고 보면 된다. 12~24개의 영어 단어로 구성된 이 코드만 알면 전 세계 어디서든 해당 지갑에 접근해 자산을 옮길 수 있고 빼돌릴 수도 있다.
비유하자면 이번에 국세청이 보도자료 사진 배포를 통해 니모닉 코드를 노출한 것은 은행 금고의 비밀번호를 공개하고 돈을 털어가라고 홍보한 것과 같다. 실제로 국세청이 니모닉 코드를 노출한 이후 해당 지갑에 보관돼 있던 400만개의 PRTG(Pre-Retogeum) 코인이 신원 미상의 지갑으로 전량 이체돼 털려 버렸다.
28일 경찰청 사이버테러대응과는 국세청으로부터 수사 의뢰를 받아 사건을 배당하고 입건 전 조사(내사)에 착수했다. 경찰은 실제 자산 이동 여부와 유출 경로, 제3자 개입 가능성 등을 집중적으로 들여다보고 있다. 경찰은 사안의 중대성을 고려해 사실관계 확인에 속도를 내고 있다.
세종시에 위치한 국세청 본청. (사진=이데일리DB)
민 의원은 “디지털자산은 기존 현금이나 예금과는 전혀 다른 방식으로 관리해야 한다”며 “개인 키가 곧 자산이고, 콜드월렛·멀티시그 같은 전문 보안기술이 필수적이다. 이런 기본 전제조차 이해하지 못한 채, 공공기관이 압류 코인을 일반 전산자산처럼 보관해온 것이 이번 사고의 본질”이라고 진단했다.
민 의원은 “더 큰 문제는 사건의 반복성”이라며 “서로 다른 기관에서 동일한 유형의 사고가 연달아 발생했다는 것은 일개 조직의 문제가 아니라, 한국 정부 전체가 디지털자산 시대의 기초 개념조차 갖추지 못했다는 방증”이라고 꼬집었다.
민 의원은 “국가는 민간에게 ‘가상자산 리스크에 대비하라’고 요구해왔지만, 정작 가장 엄격해야 할 공공기관 스스로가 그 리스크를 이해하지 못했다”며 “이는 국민 신뢰의 문제이자 범죄수익 환수 체계의 근본적 붕괴로 이어질 수 있는 심각한 사안”이라고 밝혔다.
이에 따라 민 의원은 “지금 필요한 것은 ‘재발 방지’라는 원론적 조치가 아니다”라며 “국가 차원의 디지털자산 수탁 표준을 구축하고, 전문 인력과 전담 조직을 마련하는 근본적 개혁이 시급하다”고 지적했다. “압류 코인조차 안전하게 지키지 못하는 나라에 디지털 금융혁신도, 스테이블코인 시대의 국가 경쟁력도 기대할 수 없다”는 이유에서다.
민 의원은 “디지털 자산 수용성 및 관리 역량이 민간의 발전 속도나 범죄의 고도화 속도를 전혀 따라가지 못하고 있어 매우 안타깝다”며 “이번 사건을 단순한 보안 실패로 치부한다면 대한민국은 디지털 금융 질서에서 뒤처지는 정도가 아니라 국가 기능의 신뢰 자체가 흔들리는 상황을 맞게 될 것”이라고 경고했다.
