성과 홍보하다 비밀번호 유출: 국세청 니모닉 코드 사고가 정부 디지털자산 보안에 던지는 5가지 경고
국세청이 고액 체납자 콜드월렛 압류 성과를 홍보하는 보도자료에서 가상자산 마스터키인 '니모닉 코드'를 그대로 노출해 약 69억원 상당의 코인이 탈취되는 사고가 발생했다. 국세청은 '변명의 여지없는 잘못'이라고 공식 사과했으며, 정부 전반의 디지털자산 보안 관리 체계 재점검이 시급해졌다.
왜 지금 봐야 하는가? 세금 징수의 최전선에 선 국세청이 스스로 압류한 가상자산의 비밀번호를 언론에 노출했다. 이 사건은 단순한 실수가 아니라 정부 기관의 디지털자산 관리 역량이 얼마나 취약한지를 적나라하게 드러냈다.
TL;DR
- 2026년 2월 26일, 국세청이 고액 체납자 현장수색 성과 브리핑에서 가상자산 콜드월렛의 마스터키인 니모닉 코드를 원본 사진으로 노출
- 노출 직후 PRTG 코인 약 480만 달러(69억원) 상당이 탈취됐다는 의혹 제기
- 국세청은 3월 1일 공식 사과: "변명의 여지없이 국세청의 잘못"
- 경찰청에 자수 신고 접수—호기심에 탈취 후 다음날 반환했다고 주장
- 실질 피해는 수천 달러 수준으로 제한적이나, 정부 디지털자산 관리 체계의 총체적 허점이 드러남
1. 사실관계: 무슨 일이 일어났나?
2026년 2월 26일, 국세청은 고액 체납자 추적 특별기동반이 체납자 124명에 대한 현장수색을 통해 현금 13억원, 금두꺼비·명품시계 등 총 81억원 상당의 자산을 압류했다는 성과를 언론에 브리핑했다.
이 과정에서 체납자가 보유한 가상자산 콜드월렛(오프라인 전자지갑) USB 4개를 압류했다는 사례를 소개하면서, 가상자산의 마스터키 역할을 하는 '니모닉 코드(Mnemonic Code)'가 담긴 원본 사진을 그대로 언론에 제공했다.
처음 배포한 보도자료에는 식별이 어려운 저해상도 사진이 포함됐으나, 추가 요청에 응해 원본 고해상도 사진을 제공하는 과정에서 사고가 발생했다.
- 니모닉 코드란? 보통 12~24개의 영어 단어로 구성된 가상자산 지갑 복구 암호. 이 코드만 있으면 누구든 해당 지갑의 가상자산을 전액 인출 가능
- 탈취된 코인: PRTG 코인, 약 480만 달러(69억원) 상당 (시가 기준)
- 실질 피해: PRTG 코인은 MEXC 거래소에서만 거래되는 비활성 코인으로 유동성 거의 없음. 탈취 즉시 계정 동결·블랙리스트 등록. 실질 현금화 가능 금액은 수천 달러 수준
2. 확산 메커니즘: 왜 이슈가 됐나?
이 사건이 급속히 확산된 이유는 단순한 실수라고 보기 어려운 구조적 무지를 드러냈기 때문이다.
- 가상자산 압류 홍보 자체는 적법: 체납 징수 성과를 알리는 것은 국세청의 정상적인 업무
- 문제는 보안 인식 부재: 실무자가 니모닉 코드가 '마스터키'임을 인지하지 못하고 원본 사진을 배포
- 즉각적인 탈취 시도: 노출 직후 온라인 커뮤니티에 코드가 확산되고, 호기심을 가진 네티즌이 탈취를 시도
- 자수 신고로 역전: 탈취를 시도한 인물이 스스로 경찰에 자수 신고하여 오히려 화제가 됨
"호기심에 탈취를 시도했고, 다음 날 되돌려놨다" — 자수 신고자 진술 (경찰 확인 중)
3. 맥락과 배경: 이해관계자는 누구인가?
| 주체 | 역할 | 입장 |
|---|---|---|
| 국세청 | 사고 주체, 공식 사과 | "변명의 여지 없는 잘못, 재발방지 추진" |
| 구윤철 부총리 (재정경제부) | 감독 기관장 | 관계기관 디지털자산 보안 전수 점검 지시 |
| 경찰청 사이버테러대응과 | 수사 기관 | 자수 신고 접수, 수사 중 |
| 체납자 | 피해 당사자 | 압류된 자산의 정보 유출 |
| 코인 전문가 | 피해 규모 분석 | 실질 피해 미미하다는 분석 |
4. 지속성: 이슈는 얼마나 갈까?
이 사건은 단기 충격 + 중장기 정책 변화를 동반할 것으로 보인다.
단기(1~2주):
- 경찰 수사 결과 및 자수자 입건 여부 발표
- 국세청의 구체적 재발방지 대책 발표
중장기(1~3개월):
- 정부·공공기관 디지털자산 관리 매뉴얼 전면 재정비
- 가상자산 압류·보관·매각 절차에 관한 법령 정비 가능성
- 국회 차원의 디지털자산 보안 관련 청문회 또는 법안 논의 가능성
5. 국세청 사건이 던지는 5가지 경고
⚠️ 경고 1: 공공기관의 디지털자산 문해력 제로
가상자산을 압류하는 기관이 그 자산의 '비밀번호' 개념조차 파악하지 못했다는 것은 충격적이다. 블록체인 기술의 보안 핵심 개념인 니모닉·시드 구문 교육이 전무한 것으로 드러났다.
⚠️ 경고 2: '홍보 욕구'가 보안을 이겼다
"더 생생한 정보를 전달하기 위해" 원본 사진을 추가 제공했다는 국세청의 해명은, 성과 과시 욕구가 기본적인 보안 점검을 앞질렀음을 시사한다.
⚠️ 경고 3: 압류 자산의 민감정보 관리 공백
현재 세금 체납자로부터 압류하는 디지털자산의 보관·관리 절차에 대한 체계적인 매뉴얼이 없었다. 가상자산은 은행 계좌와 달리 비밀번호 하나로 즉시 이전이 가능하다는 특수성이 있다.
⚠️ 경고 4: 유출 = 즉각 탈취 가능 (전통 정보유출과 다르다)
개인정보 유출은 대체로 2차·3차 피해까지 시간이 걸리지만, 가상자산 니모닉 코드 유출은 실시간으로 자산이 이동된다. 사고 대응 체계도 이에 맞게 설계돼야 한다.
⚠️ 경고 5: 정부 전체에 유사 사례 잠재 가능성
국세청만의 문제가 아니다. 구윤철 부총리가 즉각 "모든 정부·공공기관의 디지털자산 현황 및 관리 실태 점검"을 지시한 것은, 다른 기관에도 유사한 취약점이 있을 수 있음을 인정한 것이다.
6. 전망: 앞으로 어떻게 될까?
피해 규모가 수천 달러에 그쳤다는 것은 다행이지만, 이번 사건의 본질은 금액이 아니라 시스템의 취약성이다. 정부가 디지털자산의 압류·관리 주체로서 충분한 역량을 갖추지 못했다는 사실이 백일하에 드러났다.
참고 링크
- 국세청, 가상자산 유출 공식 사과 "회수 총력" — 연합뉴스
- 성과 뽐내다 가상자산 정보 유출한 국세청 사과 "재발방지 마련" — 한겨레
- 국세청, 가상자산 유출 사고 사과...피해금액 수천 달러 그칠 듯 — 서울경제
- 경찰, 국세청 압류 가상자산 유출사건 본격 조사 — 매일경제
- South Korea investigates seed phrase leak leading to $4.8M crypto theft — CoinDesk
이미지 출처
- Bitcoin 로고: Wikimedia Commons (Public Domain)