보도자료에 비밀번호를 찍었다: 국세청이 시드 프레이즈를 공개하자 48억이 3분 만에 사라진 이유
한국 국세청(NTS)이 세금 체납자 압수 성과를 홍보하는 보도자료에 레저 콜드월렛의 시드 프레이즈가 그대로 담긴 사진을 게재, 단 몇 분 만에 약 48억 원(4.8M USD) 상당의 PRTG 토큰이 탈취당하는 사고가 발생했다. 정부 기관의 가상자산 보관 및 보안 역량에 심각한 의문이 제기되고 있다.
지금 봐야 하는 이유: 정부가 범죄 수익을 압수했다고 자랑하는 보도자료에 '금고 열쇠'를 함께 공개했다. 단 몇 분 만에 48억이 증발했다.
TL;DR
- 한국 국세청(NTS)이 2026년 2월 26일 고액 체납자 124명 대상 가상자산 압류 성과를 발표하면서, 레저(Ledger) 콜드월렛 사진에 복구 시드 프레이즈(니모닉 구문)가 비마스킹 상태로 노출됨.
- 공개 직후 미상의 공격자가 해당 구문으로 지갑을 복구, PRTG(Pre-Retogeum) 토큰 400만 개(약 4.8M USD·약 69억 원 추정치) 를 탈취.
- 국세청은 공식 사과 후 경찰에 수사를 의뢰했으며, 이후 토큰 일부가 반환됐다는 보도도 나왔지만 사건의 근본 원인인 정부 기관의 가상자산 보안 인프라 부재 문제가 수면 위로 올라왔다.
- 이는 2021년 경찰이 보관하던 비트코인 22개가 유사한 방식으로 도난당한 사건에 이은 한국의 두 번째 정부 주도 가상자산 분실 사고다.
무엇이 일어났나
국세청은 2026년 2월 26일 고액 세금 체납자 124명을 대상으로 실시한 합동 단속 결과를 공식 보도자료로 발표했다. 압류한 디지털 자산 총액은 81억 원(약 5.6M USD) 에 달했으며, 성과를 강조하기 위해 압수된 레저 콜드월렛과 관련 서류 사진을 첨부했다.
문제는 그 사진 속에 있었다. 지갑 옆에 놓인 종이에는 12~24개 단어로 이루어진 니모닉 복구 문구(시드 프레이즈)가 마스킹 처리 없이 선명하게 인쇄돼 있었다.
시드 프레이즈란 하드웨어 지갑의 '마스터 키'다. 이 문구만 있으면 기기 없이도 어느 기기에서든 지갑을 완전히 복원·제어할 수 있다.
블록체인 분석가들은 보도자료가 배포된 직후 해당 지갑 주소에서 PRTG 토큰 400만 개가 3건의 트랜잭션으로 순식간에 빠져나갔음을 확인했다.
왜 이렇게 빠르게 털렸나 — 확산 메커니즘
하드웨어 지갑의 설계상, 지갑 기기를 물리적으로 갖고 있지 않아도 시드 프레이즈만 알면 다른 기기로 완벽하게 복원이 가능하다. 콜드월렛의 핵심 보안 전제는 '오프라인 보관 + 시드 프레이즈 비공개'인데, 이 두 조건 중 후자가 정부 기관의 실수로 무너진 셈이다.
공격 흐름:
- 보도자료 배포 → 사진 속 시드 문구 노출
- 공격자가 문구를 인식 → 소프트웨어 지갑으로 임포트
- 토큰 3건 이체 → 종료까지 수 분 이내
빠른 탈취가 가능했던 또 다른 이유는 PRTG 토큰의 유동성이 낮아 이상 거래 감지 시스템이 즉각 작동하지 않았기 때문으로 분석된다.
이해관계자
| 이해관계자 | 입장 및 피해 |
|---|---|
| 국세청(NTS) | 주체적 실수. 공식 사과, 경찰 수사 의뢰, 외부 보안 감사 예고 |
| 피해 체납자 | 압수된 자산이 다시 도난당하는 2차 피해 |
| 공격자 | 미상. 이더리움 체인 기반 주소로 추적 진행 중 |
| 가상자산 업계 | 정부의 가상자산 보안 인식 문제 재조명 계기 |
| 입법부 | 정부 기관 대상 '디지털 자산 보관 프로토콜' 법제화 논의 가속 전망 |
맥락·배경
이번 사고는 한국만의 문제가 아니다. 전 세계적으로 법집행 기관이 가상자산을 압수·보관하는 과정에서 발생한 유사 사고가 반복되고 있다. 특히 한국은 2021년 경찰이 제3자에게 보관을 맡긴 비트코인 22개가 해커에게 도난당한 전례가 있다.
시드 프레이즈 보안의 3대 원칙은 업계 상식이다:
- 비공개 보관 (사진 촬영 금지)
- 물리적 격리 (오프라인, 방화·방수 금고)
- 다중 서명(Multi-sig) 또는 기관 수탁 솔루션 활용
정부 기관이 이 기본 원칙을 지키지 못한 것은, 가상자산이 제도권으로 급속히 편입되는 속도를 내부 보안 교육 및 프로세스가 따라가지 못하고 있음을 방증한다.
전망
- 단기: 국세청 내부 감사 및 외부 보안 감사 시행. 토큰 일부 반환 보도가 있으나 전액 회수 여부 불확실.
- 중기: 국회 차원의 '정부 가상자산 보관 프로토콜 법제화' 논의 가능성 증가.
- 장기: 국내 가상자산 현물 ETF 도입과 맞물려 정부 기관의 디지털 자산 수탁 역량 기준 마련이 불가피해질 전망.
✅ 핵심 체크리스트
참고 링크
- CoinDesk: South Korea probes $4.8M crypto theft after tax seizure photo
- BleepingComputer: $4.8M in crypto stolen after Korean tax agency exposes wallet seed
- The Register: South Korea's tax office apologizes for password leak
🖼️ 이미지 출처
- Bitcoin 아이콘: Wikimedia Commons (Public Domain)