국세청 압류 가상자산 ‘시드 문구’ 노출…정부, 관계기관 합동 점검 착수

국세청이 압류한 가상자산 지갑의 ‘시드 문구(복구 구문)’가 보도자료 사진을 통해 그대로 노출되는 사고가 발생하자, 정부가 관계기관 합동 점검에 착수했다. 사진 한 장이 사실상 지갑의 ‘열쇠’를 공개한 셈이어서, 공공부문 압류자산 보관 체계 전반에 대한 경각심이 커지고 있다.

구윤철 부총리 겸 기획재정부 장관은 지난주 목요일 국세청(NTS) 보도자료 이미지 유출 사고 이후, 금융위원회와 금융감독원 등과 함께 체납자 압류 과정에서 확보한 가상자산의 보관·관리 실태를 전수 점검하겠다고 밝혔다. 구 부총리는 X(옛 트위터) 게시글에서 압류 가상자산의 현황과 관리 체계를 재점검하고 보안 통제를 ‘신속히’ 강화하겠다고 강조했다.

문제의 발단은 국세청이 조세범칙 단속 성과를 홍보하는 보도자료를 내면서, 압류한 하드웨어 지갑 사진을 함께 공개한 데서 시작됐다. 해당 사진에는 지갑 복구에 필요한 니모닉(시드 문구)이 전부 드러났고, 이를 본 제3자가 지갑을 복원해 자산을 빼낼 수 있는 상태가 됐다.

실제로 당국은 압류 지갑에서 프리 레토금(PRTG) 토큰 약 400만 개가 수 시간 만에 외부로 유출됐다고 보고 있다. 피해 규모는 약 600억 원(약 480만 달러·약 70억 9,672만 원)으로 추산된다.

구 부총리는 이번 점검이 단순히 국세청 사고에 국한된 대응이 아니라, 공공기관 전반의 압류 가상자산 통제 취약점을 ‘재발 방지’ 차원에서 바로잡는 조치라고 설명했다. 동시에 정부가 보유 중인 가상자산은 수사·징수 등 법 집행 과정에서 취득한 압류 자산에 한정되며, 그 외 방식으로 암호화폐를 보유하지 않는다는 점도 분명히 했다.

이번 사고는 과거 사례와 겹치며 논란을 키우고 있다. 시장에서는 서울 강남경찰서가 2021년 해킹 사건 수사 과정에서 압수한 비트코인(BTC) 22개를 제3의 수탁기관에 맡겼다가 관리 부실 논란이 불거졌던 사례도 재소환하고 있다. 보관 주체가 공공기관이든 외부 수탁처든, ‘키 관리’와 내부 통제 절차가 허술하면 압류 자산이 순식간에 사라질 수 있다는 점이 확인됐다는 평가다.

정부는 이번 합동 점검을 통해 압류 가상자산의 보관 방식, 접근 권한 관리, 외부 수탁 여부, 보도·홍보 과정에서의 정보 노출 통제 등을 전면 재정비할 것으로 보인다. 향후 가상자산 감독 체계를 강화하는 흐름 속에서, 공공부문이 스스로의 보안 기준을 얼마나 촘촘히 끌어올릴 수 있을지가 시장 신뢰를 가를 핵심 변수로 떠올랐다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 국세청 보도자료 사진 한 장으로 ‘시드 문구(복구 구문)’가 노출되며, 압류 가상자산의 핵심 보안요소가 ‘기술’보다 ‘운영·절차’에 의해 무너질 수 있음을 드러냈습니다.

- 공공기관이 규제·감독을 강화하는 흐름 속에서, 정작 공공부문 내부의 키 관리·접근통제·대외홍보 프로세스가 시장 신뢰의 시험대가 됐습니다.

- 과거 경찰 압수 비트코인 관리 부실 사례까지 재소환되며, 보관 주체(기관 자체 vs 외부 수탁)보다 ‘통제 설계’가 더 중요하다는 인식이 확산되고 있습니다.

💡 전략 포인트

- 기관/기업 관점: 보도자료·홍보물에 포함되는 이미지/영상에 대해 ‘민감정보 자동 탐지 + 다중 승인’(4-eyes) 체계를 구축하고, 시드/QR/주소/서명정보가 담긴 자산은 촬영 자체를 금지하는 룰이 필요합니다.

- 압류/수사 자산 관점: 단일 시드에 의존하지 않도록 멀티시그·MPC·분산보관(HSM/금고 분산) 등으로 ‘단일 실패지점(SPOF)’을 제거하고, 접근권한을 최소화·기록화(감사로그)해야 합니다.

- 시장 참여자 관점: 정부 합동점검 결과에 따라 ‘압류 자산 매각/관리’ 절차가 강화될 수 있어, 향후 관련 공지(보관/매각/수탁 기준 변경)와 단기 변동성 이슈를 모니터링할 필요가 있습니다.

📘 용어정리

- 시드 문구(복구 구문, 니모닉): 지갑을 복원할 수 있는 단어 조합으로, 노출 시 지갑 자산에 대한 통제권을 사실상 상실합니다.

- 하드웨어 지갑: 개인키를 오프라인에 보관하는 장치. 다만 시드 문구가 유출되면 하드웨어 지갑이 있어도 자산을 지킬 수 없습니다.

- 키 관리(Key Management): 개인키/시드 생성·보관·접근·복구·폐기까지의 통제 체계 전반. 기술보다 절차·권한·감사 체계가 핵심입니다.

- 외부 수탁(Custody): 제3자 전문기관이 자산을 보관·관리하는 방식. 수탁 자체가 답이 아니라, 계약·권한·감사·사고 대응 체계가 완비돼야 합니다.

💡 자주 묻는 질문 (FAQ)

Q.

‘시드 문구(복구 구문)’가 왜 그렇게 위험한가요?

시드 문구는 가상자산 지갑을 다른 기기에서 그대로 ‘복원’할 수 있는 마스터키 역할을 합니다. 한 번 노출되면 제3자가 지갑을 재생성해 자산을 이동시키는 것이 가능해져, 하드웨어 지갑처럼 오프라인 장치에 보관돼 있더라도 보안이 무력화될 수 있습니다.

Q.

이번 사고에서 정부가 전수 점검을 하는 이유는 무엇인가요?

단일 기관의 실수로 끝나는 문제가 아니라, 공공부문 전반의 ‘압류 가상자산’ 보관 방식(내부 보관 vs 외부 수탁), 접근권한 관리, 감사로그, 그리고 보도·홍보 과정의 정보 노출 통제까지 구조적으로 취약할 수 있다는 신호이기 때문입니다. 재발 방지를 위해 통제 체계를 한꺼번에 점검·보완하려는 취지입니다.

Q.

이런 사고를 막으려면 어떤 보안 절차가 필요하나요?

핵심은 ‘키가 노출되지 않게’ 만드는 운영 통제입니다. 예를 들어 (1) 시드/개인키가 포함된 물품 촬영 금지 및 자동 마스킹, (2) 홍보물·이미지의 다중 승인/검수, (3) 멀티시그·MPC 등으로 단일 시드 의존도 축소, (4) 권한 최소화 및 접근기록(감사) 의무화 같은 조치가 필요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.