신용카드 정보나 사회보장번호를 온라인에 게시하는 것과 같습니다.
한국 국세청이 하드웨어 지갑 사진과 함께 해당 지갑이 400만 PRTG 토큰 이상의 개인 키를 보관하고 있으며, 그 옆에는 지갑의 니모닉 복구 구문이 손글씨로 적힌 메모와 함께 게시하는 바람에 480만 달러가 넘는 암호화폐를 분실한 사실이 알려졌습니다. 매일경제신문에 따르면, 국세청은 이 사진을 통해 기관이 "고가치 및 습관적 체납자" 추적을 추진하는 모습을 홍보하는 보도자료를 배포했으며, 이 과정에서 압수 수색을 통해 총 81억 원, 즉 약 540만 달러 상당의 자산을 압수했다고 발표했습니다.
하드웨어 지갑은 암호화폐 자체를 저장하는 것이 아니라, 블록체인 주소를 제어하는 개인 키를 보관하는 장치입니다. 따라서 지갑의 PIN을 아는 사람만이 해당 토큰에 접근할 수 있습니다. 하지만 만약 하드웨어 지갑을 분실하고 이러한 개인 키의 백업이 없다면, 토큰이 담긴 블록체인 주소에 영구적인 접근을 상실할 위험이 있습니다. 이러한 위험 때문에 많은 장치들은 설정 과정에서 니모닉 시드 구문(mnemonic seed phrase)을 생성합니다. 이는 물리적인 지갑 없이도 모든 개인 키와 주소를 재현할 수 있게 해주는 중요한 백업 수단입니다.
안타깝게도 수사관들은 니모닉 복구 구문의 중요성을 전혀 인지하지 못한 채, 이 정보를 적은 종이를 빨간색으로 가리지 않은 채 대중에게 공개했습니다. 이는 다중 요소 인증(Multi-factor authentication)이 보편화되기 이전 시대에 신용카드 번호, 만료일, 보안 코드를 온라인에 게시하거나 소셜 시큐리티 번호를 레딧 같은 공개 커뮤니티에 공유하는 것과 같은 위험성을 안고 있습니다. 이 실수를 가장 먼저 포착하고 이를 악용한 첫 번째 사람이 거의 문제없이 400만 PRTG 토큰을 다른 지갑(추정컨대 자신의 지갑)으로 전송할 수 있었습니다. 블록체인 분석에 따르면, 사기범은 먼저 거래 수수료 지불을 위해 이더리움(ETH)을 입금한 후, 네 차례의 거래를 거쳐 거액을 인출했습니다.
돌이킬 수 없는 실수로 경찰 관리 계좌에서 훔친 150만 달러 상당의 비트코인 절도와 관련해 구속된 용의자 두 명
FBI, 압수된 정부 지갑에서 4,600만 달러를 훔친 암호화폐 도둑 체포
이 사례는 한국 공공기관과 암호화폐가 관련된 대형 실수가 처음이 아닙니다. 불과 지난달에도 경찰청은 수사기관이 압수한 비트코인(BTC)을 자체 지갑으로 이체하는 것을 소홀히 했음으로써, 수년 동안 150만 달러가 넘는 22 BTC가 분실된 것을 뒤늦게 깨달았습니다. 당시 당국은 하드웨어 지갑을 물리적으로 보관하고 있었기에 안전하다고 여겼으나, 장비의 원래 소유자가 현금이 필요하다는 이유로 니모닉 시드 구문을 해커에게 넘겨주면서 암호화폐가 손실된 것입니다.
암호화폐는 2009년 BTC가 출시되며 존재했지만, 약 20,000달러까지 급등하며 주류 시장의 주목을 받은 것은 2017년경으로 보입니다. 이러한 배경 때문에 많은 공공기관들이 여전히 가상 자산이라는 개념 자체에 어려움을 겪고 있습니다. 한국 당국이 이미 관련 처리 정책을 마련했음에도 불구하고, 정부 직원들 사이에서 해당 지식을 습득하는 데 어려움을 겪는 모습이 보여 안타깝습니다. 부디, 매번 발생하는 값비싼 실수들이 미래에는 아무도 같은 실수를 반복하지 않도록 하는 소중한 교훈이 되기를 바랍니다.
Google News에서 Tom's Hardware를 팔로우하거나 선호 출처로 추가하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요.