국세청이 체납자에게서 압류한 가상 자산 69억원어치를 탈취당하는 일이 벌어졌다. 지갑의 비밀번호 격인 ‘니모닉 코드’를 모르고 노출하는 바람에 생긴 어처구니없는 일이었다. 사후 대처는 더 기가 막혔다. 처벌을 겁낸 해킹범이 ‘반성한다’며 코인을 국세청에 돌려놓았다. 그런데도 국세청은 보안 조치 하나 없이 그대로 방치하다 2시간 만에 또 다른 범인에게 2차 도난을 당했다. 아직 회수하지 못하고 있다고 한다. 바보들이 농락을 당하는 꼴이다.

범죄 수법의 고도화를 탓하기엔 국세청의 대처가 원시적이고 안일했다. 국세청은 해킹 방지를 위해 인터넷이 차단된 ‘콜드 지갑’에 가상 자산을 보관했는데 니모닉 코드를 일반 국민도 보는 홍보 자료에 포함시켜 공개해 버렸다. 니모닉 코드가 지갑을 여는 열쇠라는 기초 사실조차 몰랐던 것이다. 금고를 사놓고 비밀번호를 다 알려준 셈이다.

검찰·경찰 등에서도 유사 사건이 잇따르고 있다. 광주지검은 수사관들이 압수물 관리 업무를 인수인계하는 과정에서 조잡한 피싱 사이트에 비밀번호를 입력하는 실수를 저질렀다. 그 결과 비트코인 320.8개(약 317억원)를 털렸다. 피해는 2024년 8월 발생했는데 수개월간 모르고 있다가 작년 초 정기 점검 때야 뒤늦게 발견했다. 서울 강남경찰서는 2022년 5월 발생했던 비트코인 유출 사실을 최근에야 확인했다. 보안 지침을 어긴 채 니모닉 코드를 개인 메모장에 적어두는 바람에 외부 유출로 이어졌다고 한다. 심지어 다른 동료 수사관이 허술한 관리 상태를 틈타 압수된 코인을 자기 계좌로 빼돌리는 내부 횡령 사고까지 발생했다.

일련의 사건은 높은 기술의 문제가 아니다. 기술이라고 부를 수도 없는 초보적인 내용조차 모르는 국가기관의 문제다. 거기에 기강 해이가 겹쳤다. 정부는 즉시 범정부 차원의 통합 가상 자산 관리 체계를 구축하고, 담당자들의 보안 교육을 원점에서 재검토해야 한다. 미국 FBI 등 해외 사정기관들은 민간 전문 수탁 업체에 가상자산의 보관을 위탁하거나 여러 명의 승인 없이는 지갑이 열리지 않는 다중 서명 시스템을 표준화했다. 우리도 배워야 한다. 기술은 빛의 속도로 가고 있는데 국가기관의 능력은 ‘아날로그 장부’ 시대에 멈춰 있다. 가상자산만 그렇겠느냐는 생각도 든다.

[조선일보]

- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -