리포트 목록
tax

국세청 시드구문 유출 대참사: 480만달러 압류 가상자산 탈취 사건의 충격적 진실과 한국 세무당국 보안체계 붕괴 분석

PRTG

국세청 보도자료 한 장이 부른 69억 원의 재앙

2026년 2월 26일, 국세청은 고액 체납자 124명으로부터 81억 원 규모의 자산을 징수했다는 성과를 알리는 보도자료를 배포했습니다. 그러나 이 보도자료에 첨부된 사진 한 장이 한국 세무행정 역사상 전례 없는 보안 참사의 도화선이 되었습니다. 수억 원의 양도소득세를 미납한 체납자 'C씨'로부터 압류한 레저(Ledger) 콜드월렛 USB 4개를 촬영한 사진에, 가상자산 지갑의 마스터키인 **니모닉 시드구문(mnemonic seed phrase)**이 모자이크 처리 없이 그대로 노출된 것입니다. 국세청은 "보다 생생한 정보를 제공하기 위해 민감한 정보가 포함된 것을 인지하지 못하고 원본 사진을 부주의하게 제공했다"고 해명했지만, 이미 돌이킬 수 없는 사태가 벌어진 뒤였습니다.

보도자료 배포 직후, 노출된 시드구문을 이용해 약 400만 개의 Pre-Retogeum(PRTG) 토큰이 탈취되었습니다. 장부상 가치로 약 480만 달러(한화 약 69억 원)에 달하는 규모였습니다. 이 사건은 단순한 실수를 넘어, 한국 공공부문의 가상자산 관리 체계가 얼마나 취약한지를 적나라하게 드러낸 구조적 실패의 상징으로 기록되고 있습니다.

법적 배경: 가상자산 압류의 제도적 공백

한국에서 가상자산에 대한 본격적인 과세는 2027년 1월 1일부터 시행될 예정입니다. 소득세법 개정안에 따르면, 가상자산 양도·대여 소득 중 연간 250만 원을 초과하는 부분에 대해 기타소득세 20%와 지방소득세 2%를 합산한 총 22%의 세율이 적용됩니다. 당초 2023년, 이후 2025년 시행이 예정되었으나, 가상자산이용자보호법의 시장 안착을 지켜본 후 과세하는 것이 적절하다는 판단 아래 두 차례 유예되었습니다.

그러나 과세 시행 이전에도 국세청은 체납자의 가상자산을 압류·추심할 권한을 보유하고 있었습니다. 문제는 이 압류 자산의 보관·관리에 관한 구체적인 보안 프로토콜이 사실상 부재했다는 점입니다. 니모닉 코드의 의미와 위험성에 대한 제도적 이해가 부족했고, 디지털 자산 특유의 기술적 특성을 반영한 보관 절차가 마련되어 있지 않았습니다. 2025년 1월 대법원이 "거래소에 보관된 비트코인은 재산에 해당한다"는 판결을 내린 바 있지만, 정부 기관이 직접 콜드월렛을 보관할 때의 보안 기준은 여전히 법적 사각지대에 머물러 있었습니다.

사건의 상세 경위: 온체인 분석이 밝힌 진실

이더스캔(Etherscan) 온체인 데이터에 따르면, 탈취범은 먼저 노출된 지갑에 소량의 이더리움(ETH)을 입금하여 거래 수수료(가스비)를 확보한 뒤, 세 차례의 트랜잭션을 통해 총 400만 PRTG 토큰을 "86c12"로 끝나는 새로운 이더리움 주소로 이체했습니다. 해당 토큰은 PRTG 전체 공급량 1,000만 개의 **40%**에 해당하는 대규모 물량이었습니다. 탈취 대상이 된 세 개의 소스 주소는 2023년 1월 이후 휴면 상태였던 것으로 확인되었습니다.

그러나 사건의 반전은 약 20시간 뒤에 찾아왔습니다. 탈취범은 모든 PRTG 토큰을 원래 지갑으로 반환했습니다. 그 이유는 PRTG 토큰의 극심한 유동성 부족 때문이었습니다. 한성대 블록체인연구소 조재우 소장에 따르면, PRTG는 MEXC 거래소에만 단일 상장되어 있었으며, PRTG/USDT 페어의 최근 30일 평균 일 거래량은 약 380달러(60만 원 미만)에 불과했습니다. 오더북 매수량은 250달러 미만이었으며, 단 59달러 규모의 매도만으로도 가격이 2% 하락할 수 있는 상황이었습니다. 장부상 69억 원이라는 금액과 실제 현금화 가능 금액(수천 달러 수준) 사이에는 극단적인 괴리가 존재했던 것입니다.

수사 진행과 제2의 탈취: 끝나지 않은 추적

서울경제에 따르면, 경찰 사이버테러수사대는 2026년 3월 3일 40대 용의자 1명을 체포했습니다. 이 용의자는 "인터넷 게시물에서 노출된 니모닉 코드를 보고 호기심에 시도했다"고 진술했으며, 다음 날 자산을 반환했다고 주장했습니다. 그러나 수사 결과, 반환된 것으로 보였던 자산은 반환 주장 직후 약 2시간 만에 제3의 계정으로 재이체된 것으로 밝혀졌습니다. 경찰은 현재 이 제2의 이체를 실행한 추가 용의자를 추적하고 있습니다.

이 사건은 국세청의 단독 실수로만 볼 수 없는 구조적 문제의 연쇄를 보여주고 있습니다. 가상자산 구조에 대한 제도적 이해 부족, 기술적 사안에 대한 전문 감수 체계의 부재, 그리고 공공 홍보 프로세스 내 정보 통제 설계의 미비라는 세 가지 층위의 실패가 겹친 결과입니다.

반복되는 참사: 강남경찰서 비트코인 22개 유출 사건과의 비교

이번 사건은 한국 정부 기관의 가상자산 관리 실패가 반복되고 있음을 보여줍니다. 이전에 서울 강남경찰서는 압류한 비트코인 22개를 외부 업체에 이관하는 과정에서 프라이빗 키 통제권을 상실하여 자산이 유출된 바 있습니다. Blockonomi에 따르면, 이번 국세청 사건은 최근 수개월간 발생한 세 번째 주요 가상자산 관리 실패 사례에 해당합니다.

해외 사례를 보면, 미국에서도 유사한 문제가 발생하고 있습니다. 미국 연방보안관서(US Marshals Service)는 압류 가상자산 관리를 맡고 있으나, 2022년 법무부 감찰실(OIG) 감사에서 "자산 회계 부정확성과 손실 위험"이 지적된 바 있습니다. 2026년 1월에는 연방 계약업체 아들이 정부 지갑에서 4,000만 달러 상당의 가상자산을 탈취한 혐의로 수사를 받는 사건이 발생했습니다. 그러나 미국은 2024년부터 코인베이스(Coinbase)와 계약을 체결하여 전문 수탁업체를 통한 기관급 콜드 스토리지 보관을 시행하고 있어, 한국과는 제도적 성숙도에서 차이를 보이고 있습니다.

정부의 대응: 범부처 감사와 4단계 압류 프로토콜

사건 이후 한국 정부는 신속하게 대응에 나섰습니다. 기획재정부, 금융위원회, 금융감독원이 합동으로 전 정부기관의 압류 가상자산 보관 실태를 점검하는 범부처 감사에 착수했습니다. 구윤철 부총리가 직접 유출 사실을 확인하고 다기관 합동 조사를 조율하고 있습니다.

핵심적인 제도 개선 방안으로는, 압류된 가상자산을 전문 가상자산사업자(VASP)에 위탁 보관하는 방안이 추진되고 있습니다. 또한 압류 절차를 준비-압류-보관-이전의 4단계로 세분화하는 상세 규정이 마련되고 있으며, 2026년 상반기 내에 민간 전문업체에 압류 가상자산 보관을 위탁하는 체계가 구축될 예정입니다. 2026년 2월부터 상장법인과 전문투자자의 법인 가상자산 거래가 허용된 만큼, 디지털자산기본법 2단계에서 스테이블코인 준비금 규정과 투자자 보호 조치도 강화될 전망입니다.

투자자를 위한 실무 가이드

이번 사건은 2027년 가상자산 과세 시행을 앞둔 투자자들에게 중요한 시사점을 제공합니다. 첫째, 자산의 장부가치와 실제 시장 실현 가치 간의 괴리에 주의해야 합니다. PRTG처럼 유동성이 극히 낮은 토큰의 경우, 코인마켓캡 등에 표시된 시가총액이 실제 매도 가능 금액과 천문학적 차이를 보일 수 있습니다. 이는 과세 시 취득가액 산정과 양도차익 계산에서도 쟁점이 될 수 있습니다.

둘째, 국세청에 의한 가상자산 압류 시 콜드월렛의 시드구문 관리가 어떻게 이루어지는지에 대해 납세자도 관심을 가져야 합니다. 압류 절차의 투명성과 자산 보전 의무는 납세자의 재산권과 직결되는 문제이기 때문입니다. 향후 VASP 위탁 보관 체계가 도입되면, 압류 자산의 시장가치 변동에 따른 손익 문제도 새롭게 대두될 것으로 예상됩니다.

셋째, 정부는 현재 글로벌 추세에 맞춰 **암호화자산 자동정보교환체계(CARF)**의 세부 이행 규정을 마련하고 있습니다. 2027년 과세 시행과 함께 해외 거래소 이용 내역까지 파악할 수 있는 인프라가 구축되므로, 투자자들은 지금부터 거래 내역을 체계적으로 정리해 두는 것이 바람직합니다.

전망: 2027년 과세 시행 전 반드시 해결해야 할 과제

이번 사건은 한국이 2027년 가상자산 과세를 성공적으로 시행하기 위해 해결해야 할 과제가 얼마나 산적해 있는지를 보여주는 상징적 사례입니다. 조재우 한성대 소장은 "이번 일을 전화위복 삼아 우리나라 공공부문 가상자산 관리체계가 자리 잡히면 좋겠다"고 제언했습니다.

과세 당국이 납세자의 가상자산을 안전하게 압류·보관할 역량을 갖추지 못한다면, 과세 집행의 신뢰성 자체가 흔들릴 수밖에 없습니다. 특히 장부가치와 실현가치의 괴리 문제, 니모닉 보안 프로토콜의 표준화, 전문 수탁업체 활용 의무화 등이 시급히 정비되어야 합니다. 가상자산 과세 유예가 또다시 연장될 가능성도 일부에서 제기되고 있으며, 이번 사건이 그 논거를 강화시킬 수 있다는 점도 주목할 필요가 있습니다.

결론

국세청 시드구문 유출 사건은 단순한 보안 사고가 아니라, 한국 공공부문의 디지털 자산 이해도와 관리 역량에 대한 근본적인 물음을 던진 사건입니다. 69억 원이라는 장부상 피해 규모와 달리 실질적 피해는 제한적이었다는 점은 역설적으로 다행이지만, 만약 이것이 비트코인이나 이더리움 같은 고유동성 자산이었다면 결과는 전혀 달랐을 것입니다. 2027년 과세 시행까지 남은 시간 동안, 한국의 가상자산 세무 인프라가 제도적·기술적으로 얼마나 성숙해질 수 있는지가 투자자와 업계 모두에게 가장 중요한 관전 포인트가 될 것입니다.