원본 사진 배포 하다 니모닉 노출
경찰 수사 의뢰… 제3자 탈취 조사
보안 전면 진단·내부 통제 강화

고액 체납자에 대한 징수 성과를 홍보하려던 국세청이 이 과정에서 가상자산 비밀번호 유출 사고를 일으킨 데 대해 대국민 사과를 했다.

국세청은 1일 “가상자산 유출 사고에 대해 국민 여러분께 깊이 사과드린다”고 밝혔다. 그러면서 “이번 사고는 국민들께 더 생생한 정보를 전달하기 위해 가상자산 민감정보가 포함된 사실을 인지하지 못하고, 원본 사진을 부주의하게 언론에 제공한 결과 발생한 것”이라며 “변명의 여지없이 국세청 잘못”이라고 시인했다.

국세청은 지난달 26일 고액 체납자 추적 특별기동반을 통해 고액 체납자 124명에 대한 현장 수색 결과 현금 13억원, 금두꺼비·명품 시계 등 총 81억원 상당의 자산을 압류했다는 성과를 언론에 브리핑했다.



국세청은 한 체납자의 사례를 소개하면서 가상자산이 든 저장용 USB 4개를 발견해 압류했다고 밝혔는데 이 과정에서 가상자산의 비밀번호 역할을 하는 ‘니모닉 코드’가 노출됐다.

당초 보도자료에는 식별이 어려운 낮은 해상도의 사진이 담겼는데, 언론에 사진을 추가 제공하는 과정에서 원본 사진이 제공됐다. 그 직후 니모닉이 노출된 가상자산이 탈취됐다는 의혹이 제기됐다.

유출된 가상자산은 PRTG 코인으로 그 규모는 480만 달러(약 69억원) 상당으로 알려졌다. 다만 PRTG 코인은 거래가 없고 현금화가 거의 불가능한 경우라 피해 규모가 크지 않을 것이란 분석도 나온다.

국세청은 지난달 27일 언론 보도로 유출 사실을 처음 인지한 후, 자체 가상자산 추적 프로그램을 통해 유출 경로를 추적하는 한편 경찰에 수사를 의뢰했다. 경찰은 해당 자료를 입수한 사람이 누구인지 등 구체적 유출 경위를 들여다보는 것으로 알려졌다.

만약 체납자 본인이 자신의 가상자산을 옮긴 것이라면 범죄 혐의점을 두기 어렵지만 제3자가 노출된 니모닉을 이용해 탈취했다면 정식 수사 전환이 불가피하다. 이 경우 피의자에게는 정보통신망법 위반과 특정경제범죄 가중처벌법상 컴퓨터 등 사용 사기 혐의 등이 적용될 수 있다.

국세청은 이번 사고를 계기로 보안 체계 전반에 대한 외부 진단을 실시하고 대외 공개 시 민감 정보가 유출되지 않도록 사전 심의 등 내부 통제를 강화하겠다고 밝혔다.

또한 가상자산 압류, 보관, 매각 전 과정에 대한 매뉴얼을 전면 재정비하고 담당 직원에 대한 직무·보안 교육을 강화하는 등 철저한 재발 방지 대책을 마련해 신속히 추진하겠다고 덧붙였다.

이날 구윤철 부총리 겸 재정경제부 장관도 국세청의 유출 사고와 관련 “금융위원회·금융감독원 등 관계기관과 함께 체납자로부터 압류 등으로 보유·관리하고 있는 정부·공공기관의 디지털자산 현황 및 관리 실태를 점검하겠다”고 밝혔다.

그러면서 “디지털자산 보안 관리강화 등 재발 방지 방안을 조속히 마련하고 시행하겠다”고 덧붙였다.

구 부총리는 “정부는 압류 등 법 집행 과정에서 보유하게 된 것 외에 디지털 자산은 보유하고 있지 않다”고 했다.