국세청 시드구문 유출 대참사: 480만달러 압류 가상자산 탈취 사건의 충격적 진실과 한국 세무당국 보안체계 붕괴 분석
보도자료 한 장이 불러온 69억원의 재앙
2026년 2월 26일, 국세청은 고액 체납자 124명을 대상으로 현금 13억원과 가상자산 81억원 상당을 압류했다는 성과를 발표했습니다. 그러나 이 보도자료에 첨부된 사진 한 장이 대한민국 세무행정 역사상 유례없는 보안 참사를 초래했습니다. 압류한 레저(Ledger) 콜드월렛의 **니모닉 코드(시드구문)**가 원본 사진에 그대로 노출된 것입니다. 수시간 만에 해당 지갑에서 480만달러(약 69억원) 상당의 PRTG 토큰이 외부로 유출되었고, 국세청은 "변명의 여지없이 국세청 잘못"이라며 대국민 사과에 나서야 했습니다.
이 사건은 단순한 실수를 넘어, 대한민국 정부기관의 가상자산 관리 체계가 얼마나 취약한지를 적나라하게 보여준 사례로 기록되고 있습니다.
법적 배경: 가상자산 압류의 제도적 공백
한국의 가상자산 압류 제도는 2020년 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 개정 이후 본격화되었습니다. 국세청은 국세징수법에 근거하여 체납자의 가상자산을 압류할 수 있는 권한을 보유하고 있으며, 최근 수년간 가상자산 압류 실적을 적극 홍보해왔습니다.
그러나 문제는 압류 이후의 보관·관리·매각 절차에 있었습니다. 현행 수사기관과 세무당국의 압수물 관리 시스템은 현금이나 물리적 증거물 중심으로 설계되어 있으며, 프라이빗 키와 시드구문이라는 디지털 자산 고유의 보안 요소를 체계적으로 관리하기 위한 별도의 규정이나 매뉴얼이 사실상 부재했습니다. 경향신문 보도에 따르면, 검찰과 경찰에 이어 국세청까지 잇달아 가상자산 관리 사고가 발생하면서 "압류 매뉴얼의 사각지대"가 구조적 문제로 지적되고 있습니다.
국제적으로는 FATF가 2025년 자산 회수 가이드라인을 통해 암호화폐 압수·관리·반환에 관한 모범 사례를 제시하고 있으며, 미국의 경우 연방 수사기관이 **CCSS(Cryptocurrency Security Standard)**와 ISO 27001을 병행 적용하여 압수 가상자산을 관리하고 있습니다. 한국은 이러한 국제 기준에 크게 미달하는 상황이었습니다.
사건 상세 분석: 두 번 털린 국세청
1차 탈취: 보도자료 사진에서 시드구문 식별
국세청은 2월 26일 체납액 징수 성과를 알리는 보도자료를 배포하면서, 압류한 콜드월렛 USB 4개와 현금이 나란히 놓인 사진을 첨부했습니다. 초기 보도자료에 실린 저해상도 사진에서는 니모닉 코드가 식별되지 않았으나, 언론에 추가로 제공된 원본 고해상도 사진에서 수기로 적힌 BIP-39 니모닉 구문이 판독 가능한 상태로 드러났습니다.
온체인 데이터(Etherscan) 분석에 따르면, 공격자는 먼저 소액의 이더리움(ETH)을 해당 지갑에 입금하여 가스비를 확보한 뒤, 세 차례에 걸쳐 PRTG 토큰 400만 개를 자신의 지갑으로 이동시켰습니다. 이 과정은 보도자료 배포 후 불과 수시간 만에 이루어졌습니다.
1차 탈취자의 자진 신고와 반환
국세청이 즉각 경찰에 수사를 의뢰하자, 2월 28일 "자신이 탈취한 당사자"라는 취지로 자진 신고한 인물이 등장했습니다. 서울신문 보도에 따르면, 이 인물은 "호기심에" 탈취했다고 진술했으며, 탈취한 PRTG 토큰을 원래 지갑으로 반환했습니다.
2차 탈취: 반환 2시간 30분 만에 재유출
충격적인 것은 그 이후에 벌어진 일이었습니다. 반환된 코인이 약 2시간 30분 만에 또 다른 지갑 주소로 이동된 사실이 확인되었습니다. 니모닉 코드가 이미 공개된 상태에서 지갑을 새로 생성하거나 자산을 안전한 주소로 이전하는 기본적인 보안 조치를 취하지 않은 것입니다. 경찰청 사이버테러대응과는 사건을 정식 입건하고 2차 탈취자를 추적 중입니다.
PRTG 토큰의 실체: 장부가와 실현가의 괴리
탈취된 자산의 시가총액은 약 69억원으로 보도되었으나, 실제 현금화 가능성은 극히 낮은 것으로 분석됩니다. 헤럴드경제 보도에 따르면 PRTG 토큰은 글로벌 거래소 MEXC에만 단일 거래쌍(PRTG/USDT)으로 상장되어 있으며, 평균 일일 거래량이 약 380달러(약 55만원)에 불과합니다. 조재우 한성대 블록체인연구소장은 "오더북에 있는 매수에 전부 덤핑해도 250달러를 넘지 않는다"며 "실질적으로 현금화 가능한 금액은 수천달러 수준"이라고 평가했습니다. 총 공급량의 40%에 해당하는 400만 개가 한꺼번에 시장에 풀릴 경우 가격 붕괴가 불가피하기 때문입니다.
이는 가상자산의 장부상 평가액과 실제 실현 가능한 가치 사이의 심대한 괴리를 보여주는 전형적인 사례이며, 동시에 국세청이 압류한 자산의 실질적 가치 평가 체계에도 의문을 제기하게 합니다.
반복되는 정부기관의 가상자산 관리 사고
이번 국세청 사건은 고립된 사례가 아닙니다. 이데일리 보도에 따르면, 감사원이 모니터링에 착수한 배경에는 정부기관의 잇따른 가상자산 관리 사고가 있습니다.
광주지방검찰청에서는 2024년 8월 도박사이트 적발 시 압수한 비트코인 320개(약 317억원 상당)가 사라지는 사건이 발생했습니다. 서울 강남경찰서에서도 보관 중이던 비트코인 22개(약 21억원 상당)가 외부로 유출되어 수사가 진행 중입니다. 코인데스크 보도에 따르면 강남경찰서 사건은 회수 구문과 자금을 제3자 수탁업체에 맡겼다가 발생한 것으로, 최근 관련자가 구속되었습니다.
세 기관 모두 프라이빗 키 관리에 대한 기본적인 보안 프로토콜이 부재했다는 공통점이 있으며, 이는 개별 기관의 실수가 아닌 시스템 차원의 구조적 결함임을 시사합니다.
투자자와 세무 관계자를 위한 실무적 시사점
이번 사건은 가상자산 투자자와 세무 관계자 모두에게 중요한 시사점을 제공합니다.
투자자 관점에서, 체납으로 인해 가상자산이 압류될 경우 해당 자산의 보안이 정부의 관리 체계에 전적으로 의존하게 됩니다. 현재로서는 이 체계가 충분히 안전하다고 보기 어려운 상황입니다. 따라서 세금 체납을 사전에 방지하는 것이 무엇보다 중요하며, 2027년 1월 시행이 예정된 가상자산 소득세(기본공제 250만원 초과분에 대해 22% 과세) 관련 신고·납부 의무를 철저히 이행해야 합니다.
세무 당국 관점에서, 가상자산 압류 시 콜드월렛의 시드구문은 최고 수준의 기밀 정보로 취급되어야 합니다. 압류 즉시 자산을 기관 통제하의 새로운 지갑으로 이전하고, 원본 시드구문은 물리적으로 격리 보관하는 절차가 필수적입니다. 또한 보도자료 등 대외 공개 자료에 대한 다단계 보안 심의 체계를 구축해야 합니다.
향후 전망: 제도 정비의 전환점이 될 것인가
이번 사건을 계기로 한국 정부의 가상자산 관리 체계에 대한 전면적인 재검토가 시작되었습니다. 감사원은 검찰청, 경찰청, 국세청, 관세청 등을 대상으로 가상자산 압수·압류물 관리의 적정성, 보관·이관 과정의 보안 통제, 접근권한 관리 체계, 사고 발생 시 대응 매뉴얼 및 책임 소재 규명 체계를 종합 점검할 방침입니다.
부총리 겸 기획재정부 장관도 정부·공공기관의 디지털 자산 현황 점검 및 보안 관리 강화 방안을 조속히 마련할 것을 지시했으며, 대검찰청은 전국 검찰청에 '가상자산 압수물 관리 업무 연락'을 배포했습니다. 국세청 자체적으로도 외부 전문기관을 통한 보안 전면 진단, 가상자산 압류·보관·매각 전 과정 매뉴얼 재정비, 담당 직원 보안 교육 강화를 추진하고 있습니다.
국제적으로 미국 연방 기관은 전문 수탁업체(Anchorage, BitGo 등)에 압수 자산 관리를 위탁하는 방식을 채택하고 있으며, EU는 MiCA 체계 아래 디지털 자산의 추적·보고 의무를 강화하고 있습니다. 한국도 기관 자체 관리 방식에서 벗어나 전문 기관 수탁 모델이나 멀티시그(다중 서명) 지갑 도입 등을 적극 검토해야 할 시점입니다.
핵심 요약
국세청의 니모닉 코드 유출 사건은 단순한 부주의에서 비롯되었지만, 그 파장은 한국 정부 전체의 가상자산 관리 역량에 대한 근본적 의문으로 확대되고 있습니다. 69억원이라는 장부상 피해 규모와 별개로, PRTG 토큰의 극단적 비유동성은 실제 경제적 손실을 제한하는 요인이 되고 있으나, 이는 결과론적 위안에 불과합니다. 감사원의 범정부 모니터링과 제도 정비가 실질적 성과로 이어지지 않는 한, 유사한 사고는 반복될 수밖에 없습니다. 가상자산 시대에 걸맞은 보안 인프라와 관리 체계의 구축은 이제 선택이 아닌 필수입니다.