국세청이 69억원 상당의 압류 가상 자산을 두 번이나 탈취당한 것으로 확인됐다. 앞서 1차로 이를 빼돌린 사람이 “호기심에 저질렀다”고 자진 신고하고 원상 복구한 것으로 알려졌는데, 몇 시간 지나지 않아 다른 이가 복구된 코인을 다시 빼냈다는 것이다.
국세청은 지난달 26일 고액 체납자의 가상 자산을 압류한 것을 홍보하는 보도자료를 내면서 ‘마스터키’ 역할을 하는 니모닉 코드를 함께 노출했다. 니모닉 코드는 분실한 가상 자산을 복원할 때 쓰는 암호다. 니모닉 코드만 있으면 USB 등 실물 매체가 없어도 가상 자산을 어디서든 복원할 수 있다.
실제로 국세청이 보도자료를 배포한 당일, 누군가가 자료에 노출된 니모닉 코드를 활용해 전자 지갑에서 코인을 유출했다. 유출된 코인의 시세는 약 69억원 상당으로 전해졌다. 다만 유출된 가상 자산이 비트코인처럼 거래가 왕성한 코인은 아니고, 거래량이 적고 현금화가 어려워 피해 규모가 크지는 않을 것이라는 분석도 나왔다.
이에 국세청은 경찰에 수사를 의뢰했다. 경찰이 입건 전 조사에 나서자 한 남성이 지난달 28일 오후 경찰청 홈페이지에 “내가 코인을 빼 갔고 원상 복구 조치했다”고 신고했다. 하지만 국세청은 “가상 자산이 다시 돌아왔는지는 수사 상황이라 확인이 어렵다”며 코인 환수 여부를 밝히지 않았는데, 실제로는 코인이 돌아온 지 약 2시간 만에 다른 이가 같은 니모닉 코드를 통해 재차 코인을 유출한 것이다.
국세청은 1일 입장문을 내고 “(니모닉 코드 노출은) 변명의 여지 없이 국세청의 잘못”이라며 “이번 사고를 계기로 보안체계 전반에 대한 외부진단을 실시하고, 대외 공개 시 민감 정보가 유출되지 않도록 사전 심의 등 내부 통제를 강화하겠다”고 밝혔다. 하지만 환수한 코인이 2시간 만에 재차 유출된 것이 드러나면서 여전히 보안 의식이 부재하다는 지적이 나온다.