economy
4遺??뚯슂
69억 코인이 사라졌다: 국세청 니모닉 코드 노출 사고가 한국 디지털 자산 행정에 던지는 5가지 경고
국세청이 고액 체납자 압류 성과를 홍보하다 가상자산 지갑의 마스터키(니모닉 코드)를 언론에 그대로 노출, 69억원 상당의 코인이 두 차례에 걸쳐 탈취됐다. 3월 1일 공식 사과와 함께 외부 보안 진단을 약속했지만, 정부의 디지털 자산 관리 역량에 대한 근본적 의문이 제기되고 있다.
"성과를 뽐내다 비밀번호를 통째로 공개했다" — 대한민국 국세청이 2026년 3월, 전례 없는 디지털 행정 실수로 실시간 검색어 1위에 올랐다.
TL;DR
- 국세청은 2월 26일 체납자 현장 수색 성과 홍보 사진에 가상자산 콜드월렛의 니모닉(복구 시드) 코드를 그대로 노출했다.
- 수 시간 내 69억원(약 480만 달러) 상당의 PRTG 코인이 탈취됐고, 이후 두 번째 해킹까지 확인됐다.
- 3월 1일 공식 사과 — "변명의 여지없이 국세청의 잘못" — 와 함께 경찰청 사이버테러수사대에 수사 의뢰.
- 피의자 2명 입건·추적 중이며, 1차 탈취범은 자수 후 반환했지만 코인이 다시 다른 계좌로 유출됐다.
- 국세청은 외부 보안 진단, 민감정보 사전 심의 강화, 가상자산 압류·보관·매각 전 과정 매뉴얼 전면 재정비를 약속했다.
1. 사실관계: 무슨 일이 있었나
사건 경위
2026년 2월 26일, 국세청은 고액 체납자 124명에 대한 현장 수색 성과를 발표했다. 현금, 명품 시계, 귀금속 등 약 81억원 상당을 압류했다는 내용이었다. 그런데 문제는 홍보 자료에 첨부된 압류 물품 사진이었다.
사진에는 콜드월렛(오프라인 하드웨어 지갑) USB 4개가 찍혀 있었는데, 그 옆에 니모닉 코드(Mnemonic Code)—지갑의 마스터 키 역할을 하는 12~24개 단어 복구 구문—가 그대로 노출됐다.
니모닉 코드는 지갑 비밀번호를 잊어도 자산 전체를 복구할 수 있는 절대 열쇠다. 이를 아는 자는 누구든 지갑의 전 재산을 인출할 수 있다.
코드 노출 직후 인터넷 커뮤니티에 정보가 퍼졌고, 수 시간 내 PRTG 코인 400만 개(약 480만 달러, 69억원)가 탈취됐다.
두 번 털린 사연
- 1차 탈취: 온라인에서 코드를 발견한 해킹범 A가 "호기심에" 코인을 가져갔다가 이튿날 반납한다고 자수.
- 2차 탈취: 그런데 A가 반납했다는 코인이 다른 계정으로 다시 빠져나간 것이 확인됐다. 별도의 피의자 B가 연루된 것으로 추정.
- 경찰청 사이버테러수사대가 A, B 두 명을 컴퓨터 등 사용 사기 혐의로 입건하고 추적 중이다.
2. 확산 요인: 왜 실시간 1위가 됐나
황당함의 3박자가 대중의 공분과 조롱을 동시에 불러일으켰다.
- 아이러니: 체납자의 재산을 압류한 자가, 그 재산을 지키는 비밀번호를 스스로 공개한 것.
- 속도: 노출 후 수 시간 만에 탈취가 이뤄졌다는 사실이 디지털 위협의 실시간성을 실감하게 했다.
- 반복: "이미 2021년 경찰이 압류한 비트코인 22개도 분실한 전례가 있다"는 지적이 나오며 정부의 구조적 디지털 자산 관리 무능력 논란으로 확장됐다.
3. 맥락·배경: 정부는 왜 이 실수를 했나
니모닉 코드를 모르는 담당자
국세청 측은 "생생한 정보를 국민에게 전달하려다" 실수했다고 설명했다. 이는 담당 공무원이 니모닉 코드의 의미와 위험성 자체를 인지하지 못했을 가능성을 시사한다.
가상자산은 전통 금융 자산과 달리:
- 자기 수탁(Self-Custody) 구조—은행 같은 중간 기관 없이 열쇠(개인키/니모닉)를 직접 보관
- 열쇠를 잃거나 유출되면 되돌릴 수 없음
- 정부 기관도 기술 훈련 없이는 안전하게 보관하기 어려운 자산
법제도의 공백
현행 국세징수법과 가상자산이용자보호법은 압류 가상자산의 보관·관리 절차를 구체적으로 규정하지 않는다. 전통 자산(현금, 유가증권, 부동산)을 전제로 설계된 집행 매뉴얼이 디지털 자산에 그대로 적용되고 있는 셈이다.
4. 전망: 사태가 남긴 과제
단기
- 경찰 수사로 피의자 검거 및 자산 회수 가능성 — 단, PRTG 코인은 유동성이 거의 없어 실질 피해 규모는 제한적
- 국세청 내부 보안 감사 및 외부 전문기관 진단 실시
중장기
| 과제 | 현황 | 방향 |
|---|---|---|
| 디지털 자산 압류 매뉴얼 | 미비 | 전면 재정비 필요 |
| 담당 공무원 교육 | 전무 수준 | 보안·기술 직무교육 의무화 |
| 다중 서명(Multi-sig) 도입 | 미적용 | 국고 보관 시 필수 검토 |
| 제3 수탁기관 활용 | 미검토 | 가상자산 거래소·수탁사와 협업 |
| 관련 법령 정비 | 국세징수법 공백 | 디지털 자산 압류 전용 조항 신설 |
5. 체크리스트: 국세청이 당장 해야 할 일 5가지
피해 코인 전량 회수: 경찰청 사이버수사대와 공조, 블록체인 추적
니모닉·개인키 관련 전 직원 보안 교육: 즉시 시행
다중 서명 지갑 도입: 단일 키 노출로 전액 탈취되는 구조 개선
민감정보 사전 심의 시스템: 보도자료 배포 전 자동 검출 도구 적용
국세징수법 개정 추진: 가상자산 압류·보관·처분 전 과정의 법적 근거 마련
참고 링크
- 한겨레 — 성과 뽐내다 가상자산 정보 유출한 국세청 사과
- 연합뉴스 — 국세청, 가상자산 유출 공식 사과…"회수 총력"
- 문화일보 — 국세청 코인 2번 털려…경찰, 피의자 추적 중
- CoinDesk — South Korea probes $4.8 million crypto theft after tax seizure photo blunder
- The Register — South Korea's tax office apologizes for password leak
- 정책브리핑 — 가상자산 유출 사고에 대해 국민 여러분께 깊이 사과드립니다
이미지 출처
- Bitcoin 아이콘: Wikimedia Commons — Bitcoin.svg (Public Domain)