국세청 압류 가상자산 민간 위탁 긴급 전환: 69억원 보안참사 이후 정부 암호화폐 관리체계 전면 재편
국세청, 니모닉 코드 유출로 69억원 탈취… 민간 커스터디 위탁 전격 결정
2026년 2월 26일, 대한민국 국세청이 고액·상습 체납자로부터 압류한 가상자산의 보안코드를 보도자료에 그대로 노출하면서 약 69억 원(480만 달러) 상당의 암호화폐가 탈취되는 초유의 보안 참사가 발생했습니다. 이 사건은 정부 기관의 디지털 자산 관리 역량에 대한 근본적인 의문을 제기했으며, 국세청은 2026년 상반기 중 압류 가상자산을 민간 전문 커스터디 기관에 위탁하는 방안을 긴급 추진하고 있습니다.
이번 사태는 단순한 보안 사고를 넘어, 한국 정부의 가상자산 관리 체계 전반에 걸친 구조적 취약성을 적나라하게 드러낸 사건입니다. 서울 강남경찰서의 비트코인 22개(약 21억 원) 분실 사건까지 연이어 발생하면서, 수사·과세 기관의 디지털 자산 보관 역량에 대한 국민적 불신이 극에 달했습니다.
법적 배경: 가상자산 압류·보관의 제도적 공백
한국에서 세무당국의 가상자산 압류는 국세징수법에 근거하여 이루어지고 있으나, 기존 압류 매뉴얼은 거래소 기반 자산을 전제로 설계되어 있었습니다. 콜드월렛(오프라인 전자지갑) 형태의 가상자산 압류 절차에 대한 구체적인 실행 지침은 사실상 부재했으며, 니모닉 코드 관리 절차조차 기존 프로토콜에 포함되어 있지 않았습니다.
2024년 7월 시행된 **가상자산 이용자 보호 등에 관한 법률(가상자산이용자보호법)**은 가상자산사업자의 고객 자산 보관에 관한 기본적인 보안 기준을 규정하고 있습니다. 이 법률에 따르면 수탁기관은 위탁받은 가상자산 전부를 인터넷과 분리하여 보관해야 하며, 정보시스템의 안전성과 보안성에 대해 연 1회 이상 점검·평가를 받아야 합니다. 그러나 이 법률은 민간 사업자를 대상으로 한 것으로, 정부 기관이 압류한 가상자산의 보관에 직접 적용되는 규정은 아니었습니다.
국세청은 가상자산 압류를 5년째 수행해왔음에도 불구하고, 전담 인력이나 전문 조직 없이 기존 체납징수 부서에서 병행 업무로 처리해왔습니다. 세정일보에 따르면, 국세청은 이번 사건 발생 후에야 "TF를 즉시 출범시키겠다"고 밝힌 바 있어, 그간의 관리 소홀이 제도적 차원에서 방치되어 왔음을 시사합니다.
사건 경위: 보도자료 한 장이 불러온 69억원 참사
사건의 발단은 국세청이 2026년 2월 26일 배포한 체납액 징수 실적 보도자료였습니다. 국세청은 고액 체납자로부터 콜드월렛 USB 4개를 압류했다는 성과를 홍보하면서, 레저(Ledger) 콜드월렛과 니모닉 코드가 적힌 종이가 함께 촬영된 사진을 블러 처리 없이 그대로 공개했습니다. 니모닉 코드는 가상자산 지갑의 '마스터키'에 해당하는 것으로, 이 코드만 있으면 세계 어디서든 지갑을 복원하고 자산을 이전할 수 있습니다.
경향신문 보도에 따르면, 보도자료 공개 직후 PRTG 코인 약 400만 개(약 69억 원 상당)가 외부 지갑으로 이체되었습니다. 수사 결과 가상자산은 짧은 시간 내에 두 차례에 걸쳐 유출된 것으로 밝혀졌습니다. 첫 번째 탈취범은 "호기심에" 자산을 빼냈다며 자수서를 제출하고 자산을 반환했다고 주장했으나, 서울신문 보도에 의하면 반납 주장 직후 약 2시간 만에 제3의 계정으로 다시 이체된 것으로 드러났습니다.
이 사건은 국세청의 가상자산에 대한 기본적인 보안 인식 부재를 여실히 보여주었습니다. 국세청 차장 이성진은 국회 기획재정위원회 보고에서 **"가상자산에 대한 경험이나 이해·노하우가 부족했던 점을 인정한다"**고 공식 사과했습니다.
연쇄 보안 참사: 강남경찰서 비트코인 분실 사건
국세청 사건에 앞서 서울 강남경찰서에서도 보관 중이던 비트코인 22개(약 21억 원 상당)가 분실된 사실이 뒤늦게 확인되었습니다. YTN 보도에 따르면, 해당 비트코인은 2021년 11월 해킹 사건 수사 과정에서 임의제출 형태로 확보되었으나, 2022년 5월 다른 가상지갑으로 이전된 것이 약 3년 8개월 만에야 파악되었습니다.
물리적 저장 장치인 USB는 그대로 남아 있었지만, 디지털 자산만 빠져나간 것이었습니다. 블록미디어에 따르면 경찰은 관련 용의자 2명을 검거했으며, 이들은 경찰관이 아닌 원래 해킹 사건의 관련자로 확인되었습니다. 이 사건은 수사기관의 압수물 관리 지침이 물리적 증거물 중심으로 설계되어 있어, 가상자산이라는 새로운 형태의 자산에 대응하지 못하고 있음을 보여주었습니다.
정부 대응: 가상자산 관리개선 TF 출범과 민간 위탁 추진
국세청은 2026년 3월 11일 **'가상자산 선진관리 TF(Task Force for Advanced Virtual Asset Management)'**를 출범시켰습니다. 크립토타임스 보도에 따르면 TF 책임자는 고영일이 맡았으며, 가상자산의 압류·보관·매각 전 과정을 관장하는 것을 임무로 합니다.
헤럴드경제의 단독 보도에 따르면, 국세청은 압류한 콜드월렛을 외부 전문 커스터디(수탁) 기관에 위탁하여 관리하는 방안을 검토 중이며, 2026년 상반기 중 위탁 기관을 선정할 계획입니다. 위탁 기관 선정 시 평가 기준으로는 보안 인프라 및 프로토콜, 기업 규모와 운영 역량, 보험 가입 여부, 가상자산이용자보호법 기준 충족 여부 등이 고려될 예정입니다.
아울러 국세청은 전담 **디지털자산관리과(가칭)**를 신설하여 가상자산 관련 업무를 중앙집중적으로 처리할 계획이며, 2027년에는 새로운 디지털 자산 추적 시스템을 가동할 예정입니다. 감사원도 검찰·경찰·국세청·관세청 등 관계 기관의 압류 자산 관리 실태에 대한 전면 감사에 착수한 것으로 알려졌습니다.
투자자와 납세자에 대한 실질적 영향
이번 사태가 일반 가상자산 투자자에게 미치는 직접적인 영향은 제한적이나, 몇 가지 중요한 시사점이 있습니다. 첫째, 체납으로 인해 가상자산이 압류될 수 있는 납세자의 경우, 향후 압류 자산이 민간 커스터디 기관에 위탁되면 보안 사고로 인한 자산 손실 위험이 상당히 줄어들 것으로 예상됩니다.
둘째, 2027년 1월 1일부터 시행 예정인 가상자산 과세(기타소득 분류, 지방세 포함 22% 세율)를 앞두고, 국세청의 디지털 자산 관리 역량 강화는 과세 인프라 구축의 선결 과제라 할 수 있습니다. 2027년부터는 해외 가상자산 거래 정보도 국세청이 자동으로 수집할 수 있게 되므로, 관리 체계 정비는 더욱 시급합니다.
셋째, 커스터디 위탁 기관 선정 과정에서 국내 가상자산 수탁 시장이 활성화될 가능성이 있습니다. 다만 업계 전문가는 "커스터디 서비스 제공자라고 해서 무조건 자산을 맡길 수 있는 것은 아니다"라며 **철저한 실사(due diligence)**의 중요성을 강조했습니다.
향후 전망: 제도 정비와 남은 과제
이번 사건을 계기로 한국 정부의 가상자산 관리 체계가 전면적으로 재편될 것으로 전망됩니다. 단기적으로는 2026년 상반기 중 민간 커스터디 위탁이 실현되고, 중기적으로는 2027년 디지털 자산 추적 시스템 가동과 가상자산 과세 시행이 맞물리면서 종합적인 관리 프레임워크가 구축될 것입니다.
그러나 과제도 적지 않습니다. 국내 커스터디 기관의 자본력과 수용 역량이 아직 충분하지 않다는 우려가 제기되고 있으며, 정부 압류 자산에 대한 민간 위탁의 법적 근거를 명확히 하는 입법 작업도 필요합니다. 또한 국세청뿐 아니라 검찰·경찰·관세청 등 모든 수사·과세 기관에 걸친 통일된 가상자산 관리 기준이 마련되어야 합니다.
결론
국세청 69억원 가상자산 탈취 사건은 한국 정부 기관의 디지털 자산 관리 역량이 급속히 성장하는 가상자산 시장의 현실을 따라가지 못하고 있음을 극명하게 보여주었습니다. 민간 커스터디 위탁 전환은 불가피한 선택이며, 이를 통해 투자자와 납세자의 자산 보호 수준이 한 단계 높아질 것으로 기대됩니다. 2027년 과세 시행을 앞둔 지금, 이번 위기가 한국의 가상자산 제도 인프라를 근본적으로 강화하는 전환점이 되어야 할 것입니다.