[지디넷코리아]
가상자산이 범죄 자금의 세탁 통로로 이용되면서, 전세계 수사기관이 압류하는 비트코인 규모가 ‘조 단위’를 넘어섰습니다.
하지만 거액의 코인을 잡아냈다는 승전보 뒤에는 누구도 말하지 않는 서툰 뒷수습이 숨어 있습니다. 수조 원의 디지털자산이 한 순간의 실수로 공중에 분해될 위기에 처해 있습니다.
미국은 세계에서 가장 많은 비트코인을 압류하는 국가 중 하나입니다. 미 국세청 범죄수사부(IRS-CI)가 관리하는 가상자산 규모는 약 80억 달러(약 11조원)에 달하며, 연방보안관실(USMS) 또한 4억 6600만 달러(약 6300억원) 규모의 자산을 상시 관리하고 있습니다.
문제는 이 천문학적 자산이 관리되는 방식입니다. 미 법무부 감찰관실(OIG) 보고서에 따르면, 정부의 공식 자산 관리 시스템(CATS)은 블록체인의 특성을 전혀 반영하지 못하고 있습니다. 결국 담당자들은 엑셀 시트에 수기로 자산 내역을 적어 관리하고 있습니다.
그 결과는 참담했습니다. 실제 조사에서 28건의 데이터 불일치가 발견됐고, 심지어 타 부처 자산을 잘못 적어 넣은 사례도 11건이나 됐습니다. 11조원의 국가 자산이 담당자의 오타 하나에 좌우되는 구조였던 셈입니다.
블록체인은 때때로 ‘하드포크(Hard Fork)’라는 기술적 분할을 거칩니다. 2017년 비트코인에서 비트코인캐시가 갈라져 나온 것이 대표적입니다. 이때 비트코인 1개를 가진 사람은 공짜로 비트코인캐시 1개를 더 받게 됩니다.
하지만 미 수사기관은 이 개념을 이해하지 못했습니다. 압류한 비트코인에서 파생된 수백만 달러 상당의 신규 코인을 추적하거나 청구하지 않고 방치했습니다. 이는 명백한 국가 재정의 손실입니다. 디지털자산에 대한 전문지식 부재가 곧 세금 낭비로 이어진 사례입니다.
가상자산 지갑의 유일한 열쇠인 ‘복구 구문(Seed Phrase)’ 관리도 엉망이었습니다. 미국의 한 수사관은 정부 지갑의 복구 구문을 실수로 파기해, 수억원 가치의 자산을 영구적으로 꺼낼 수 없는 결과를 초래했습니다.
한국은 더 심각한 일을 겪었습니다. 지난 2023년 서울 강남경찰서가 압류한 22비트코인(당시 약 10억원, 현재 가치 약 20억원 이상)을 수사관이 몰래 외부로 유출하는 초유의 사태가 벌어졌습니다. 한 명의 담당자가 자산에 접근할 수 있는 권한을 독점하면서 발생한 사고였습니다.
지난 달 국세청에서 믿기 힘든 사고가 발생했습니다. 고액 체납자의 가상자산을 압류했다는 성과를 홍보하기 위해 배포한 보도자료 사진에, 해당 지갑의 마스터키인 ‘니모닉 코드’ 24개 단어를 그대로 노출한 것입니다.
니모닉 코드는 가상자산 지갑의 모든 권한을 가진 ‘최종 열쇠’입니다. 이 코드만 있으면 전세계 어디서든 지갑 안의 가상자산을 빼낼 수 있습니다.
국세청 보도자료가 나간 지 불과 하루 만에 지갑 속에 있던 69억원 상당의 가상자산이 신원 미상의 주소로 전량 탈취됐습니다. 국가 기관이 스스로 지갑 문을 열어준 꼴이 된 이 사건은, 현재 경찰이 정식 수사로 전환해 피의자를 추적 중입니다. 이는 단순한 행정 실수를 넘어, 공권력이 확보한 자산에 대한 관리 체계가 얼마나 처참한 수준인지 단적으로 보여줍니다.
미국의 시행착오와 우리의 뼈아픈 실수를 반복하지 않으려면 다음과 같은 보안 대책을 마련해야 할 필요가 있습니다.
① 블록체인 전용 시스템 구축: 수기 입력 대신 블록체인 네트워크와 실시간 연동되어 수량 변화와 이체 내역을 자동으로 기록하는 통합 관리 시스템이 필요합니다.
② 파생자산(포크•에어드롭) 자동 추적: 압류 지갑에서 발생하는 하드포크 자산이나 보상(Staking)을 시스템이 자동으로 인식해 국고로 귀속해야 합니다.
③ 다중 승인 체계(Multi-Sig) 의무화: 자산을 옮길 때 수사관 혼자 결정할 수 없도록, 수사팀장•검찰•관리부서 등 3명 중 2명 이상의 전자서명이 있어야만 출금이 가능하도록 설계해야 합니다.
④ 복구 구문의 물리적 분산 보관: 지갑의 열쇠(Seed Phrase)를 종이에 써서 금고에 넣는 방식은 위험합니다. 이를 조각내어 서로 다른 기관(예: 한국은행, 대검찰청 등)에 분산 보관하는 금융권 수준의 통제가 필요합니다.
⑤ 민간 전문 수탁(Custody) 기관 협력: 모든 기술을 정부가 다 보유할 순 없습니다. 이미 보안이 검증된 민간 가상자산 수탁 업체와 파트너십을 맺고, 보관은 민간에, 권한은 국가에 두는 ‘하이브리드 관리’를 검토해야 합니다.
가상자산은 압류 버튼을 누른다고 상황이 종료되는 자산이 아닙니다. 가격 폭락에 대비한 매각 시점 결정, 해킹 방어, 파생 자산 확보 등 관리 과정 자체가 고도의 금융 행위입니다.
우리 정부도 가상자산을 단순히 ‘치워버려야 할 범죄 수익’으로만 볼 것이 아니라, 엄연한 ‘국가 전략 자산’으로 보고 관리 체계를 현대화해야 합니다. 진정한 사법 정의는 범죄자를 잡는 것에서 시작해, 압류한 자산을 단 1원도 잃지 않고 국민의 품으로 돌려주는 데서 완성되기 때문입니다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
<박재현 Noone21 대표 이력>
• 2025 ~ 현재: Noone21 대표이사, 포항공대 CCBR(Center
for Cryptocurrency & Blockchain Research) 부센터장
• 2023 ~ 현재: 수호아이오 사업 및 전략 고문
• 2018 ~ 2023: 람다256 대표이사
• 2016 ~ 2018: SK텔레콤 전무이사 (서비스 플랫폼)
• 2008 ~ 2016: 삼성전자 무선사업부 상무이사 (삼성페이, 챗온)