국세청, 마스터키 공개 실수에 보안 치명타···압류 가상자산 연쇄 해킹

국세청. [사진=연합뉴스]

[이뉴스투데이 김진영 기자] 국세청이 체납자로부터 압류해 보관 중이던 가상자산이 두 차례에 걸쳐 유출된 것으로 확인됐다. 경찰은 사건을 정식 수사로 전환하고 복수의 피의자를 추적하고 있다.

2일 경찰에 따르면 경찰청 사이버테러수사대는 국세청 의뢰로 진행해 온 가상자산 유출 사건에 대해 입건 전 조사(내사)를 ‘컴퓨터 등 사용 사기’ 혐의 정식 수사로 전환했다. 경찰은 가상자산을 탈취했다가 일부를 반환했다고 주장한 1차 해킹범의 진술을 검증하는 동시에, 자산이 다시 빠져나간 정황과 관련해 2차 해킹범의 행방을 쫓고 있다.

수사 과정에서 1차 해킹범은 “(가상자산을) 가져갔다가 돌려놨고 반성 중”이라는 취지의 자수서를 제출한 것으로 전해졌다. 그러나 경찰은 해당 인물이 반납했다고 주장한 가상자산이 이후 다른 계정으로 이동한 사실을 확인했다. 경찰 관계자는 “1차 해킹범 주장의 진위를 조사하는 동시에 추가 피의자 추적에 수사력을 집중하고 있다”고 밝혔다.

이번 사태는 국세청의 보안 관리 허점에서 비롯됐다. 국세청은 지난달 26일 체납자의 가상자산이 담긴 콜드월렛 USB 4개를 압류했다는 보도자료를 배포하는 과정에서, 지갑의 마스터키 역할을 하는 ‘니모닉 코드’를 실수로 노출했다. 니모닉 코드는 지갑을 복구·접근할 수 있는 핵심 정보로, 노출 직후 해당 전자지갑에 보관돼 있던 가상자산이 외부로 이동한 것으로 파악됐다.

유출된 자산은 PRTG 코인 약 400만 개로, 당시 시세 기준 약 480만달러(한화 약 69억원) 규모로 알려졌다. 다만 해당 코인은 거래가 거의 없고 현금화가 사실상 어려운 구조여서 실질 피해 규모는 제한적일 수 있다는 분석도 나온다.

국세청은 1일 입장문을 통해 “변명의 여지 없이 국세청의 잘못”이라며 “이번 사고를 계기로 보안 체계 전반에 대한 외부 진단을 하고, 대외 공개 시 민감 정보가 유출되지 않도록 사전 심의 등 내부 통제를 강화하겠다”고 전했다.

공공기관이 압류·보관 중인 디지털 자산이 관리 부실로 유출된 데다, 반환 주장 이후 추가 이동 정황까지 드러나면서 가상자산 관리 체계 전반에 대한 점검이 불가피하다는 지적이 나온다.