정부의 무기가 된 보안 취약점…코인이지, 미 정부의 비트코인 압수 기술 분석

글로벌 암호화폐 전문 리서치 플랫폼 코인이지(CoinEasy)는 최근 보고서를 통해 미국 정부가 압수한 비트코인(BTC) 지갑 주소 일부가 이미 2년 전 보안 취약점으로 경고된 대상으로 확인됐다고 분석했다. 이는 정부가 암호화폐 해킹 취약성을 직접 활용해 압수를 감행했을 가능성을 제기하며, 암호화폐 보안 체계에 대한 근본적인 의문을 던지고 있다.

2023년 공개된 ‘Milk Sad’ 보고서는 비트코인 지갑 생성 툴 ‘Libbitcoin Explorer’가 사용하는 난수 생성 로직에 구조적 결함이 있다고 경고했다. 해당 툴은 암호학적으로 안전한 알고리즘이 아닌 Mersenne Twister(mt19937) 기반의 의사 난수 생성기를 사용했으며, 시드 값을 단순한 32비트 시스템 타임스탬프로 초기화했다. 이로 인해 생성된 개인 키는 예측 가능성이 높아졌고, 브루트포스 공격을 통해 수천 개의 지갑이 실제로 탈취된 것으로 알려졌다.

코인이지 리서치에 따르면, 보고서에 언급된 특정 지갑 주소들이 최근 미국 정부가 확인한 압수된 127,000 BTC 규모 지갑 목록에 포함돼 있다는 사실이 확인됐다. 이는 단순한 법적 압수가 아니라 당시 언급된 보안 취약점을 정부 기관이 탐지 및 악용했을 수 있다는 정황으로 이어진다. 미국 정부는 공식적으로 해당 지갑의 동일성 여부나 접근 경로에 대해서는 자세한 설명을 내놓지 않았다.

이에 따라 두 가지 가능성이 제기되고 있다. 첫째, 지갑이 법적 절차를 통해 압수됐을 가능성이다. 하지만 Milk Sad에 기술된 해당 지갑과의 연결성에 대한 언급이 전무해 의문이 남는다. 둘째는 정부가 공개된 취약점을 실제로 활용해 기술적으로 접근했을 가능성이다. 이 경우, 미국 기관이 준수한 법적 절차와는 별개의 ‘기술적 회수’로 해석될 수 있으며, ‘정부가 해킹을 활용한 것 아니냐’는 논란의 여지를 남긴다.

리서치에 참여한 코인이지 팀은 리뷰를 통해 "보안 보고서에 구체적으로 지적된 지갑이 그대로 정부의 통제에 들어간 상황은 블록체인 보안 체계 전반에 걸쳐 경고등을 울리는 사건이다"라고 전했다. 지갑 생성의 핵심이 되는 난수(randomness)의 안전성이 무너지면, 암호화폐의 자기주권 통제권은 허상에 그칠 수 있다는 지적이다.

비트코인(BTC)은 탈중앙성과 보안성을 바탕으로 글로벌 디지털 자산 시장의 대표주자로 자리 잡아 왔다. 그러나 이번 사례는 단 하나의 기술적 약점이 수조 원 규모 자산의 소유권을 전복시킬 수 있음을 보여준다. 특히 Milk Sad 보고서에서처럼, ‘사용자의 실수’가 아닌 ‘도구 자체의 구조적 결함’으로 인한 보안 문제는 그 파장이 더욱 클 수밖에 없다.

궁극적으로 이번 사건은 암호화폐 보안에서 무작위성 확보와 툴 선정의 중요성을 다시 한번 환기시키는 계기로 작용하고 있다. 코인이지는 보고서 말미에서 “우리가 부여한 신뢰와 시스템이 생성한 극히 단순한 무작위성 사이의 모순이 만든 지갑 보안의 허점이, 결국 가장 강력한 국가기관의 ‘승인이자 침투’로 귀결됐다는 것”이라고 강조했다.