국세청이 고액·상습 체납자들로부터 가상자산을 압류했다는 소식을 알리려다 압류한 가상자산 지갑의 비밀번호를 노출하는 사고가 발생했다.

이 사고로 압류했던 가상자산 480만달러(약 69억원)어치가 유출됐을 가능성도 제기되고 있어 파장이 예상된다.

27일 블록체인 데이터 전문가인 조재우 한성대학교 교수에 따르면 국세청 보도자료에 지갑의 핵심 비밀번호인 '니모닉' 구문이 노출돼 압류한 가상자산 지갑에서 PRTG 토큰 400만개가 빠져나간 정황이 포착됐다. 약 480만달러 규모다.

니모닉이란 가상자산 지갑 키를 복구하기 위한 핵심 단어들을 말한다. 복구용으로도 쓰이지만 가상자산 지갑을 여는 중요 비밀번호(마스터 키)로도 쓰인다.

국세청은 고액체납자로부터 가상자산 지갑을 압류했다는 사실을 알리기 위해 첨부한 '가상자산 저장용 USB' 사진에서니모닉을 전부 유출했다. 가상자산 저장용 USB란 USB로 제작된 가상자산 하드웨어 지갑이다.

하드웨어 실물이 없어도 니모닉만 있으면 지갑에 접근할 수 있다. 이 때문에 니모닉이 유출된 이후 블록체인상 거래 내역에선 가상자산 탈취 정황이 포착됐다.

단, 가상자산을 탈취한 지갑 계정이 중앙화 거래소들을 이용한 흔적이 있어 추적은 가능할 것으로 보인다. 국내 중앙화 가상자산 거래소들은 고객인증(KYC) 절차를 거쳐야만 거래소 이용이 가능하기 때문이다.

조재우 교수는 "(자산을 탈취한 계정은) 빗썸과 코빗을 통한 출금 흔적이 있어 추적이 쉽게 가능한 계정"이라며 "화이트해커일 가능성도 있다"고 했다.

hyun1@news1.kr