최근 국세청의 공식 보도자료에 가상자산 지갑의 시드 문구가 그대로 노출되는 사고가 발생하였다. 이로 인해 연결된 주소에서 프리-리토게움(PRTG) 400만 개가 유출되었으며, 이로 인한 피해 규모는 약 480만 달러(한화 약 692억 원)에 달하는 것으로 전해졌다.

국세청은 26일(목) 세금 체납자에 대한 징수 및 압류 집행 사실을 알리는 과정에서 콜드월렛(오프라인 지갑) 관련 사진을 보도자료에 포함시켰다. 문제의 이미지에는 레저(Ledger) 하드웨어 지갑과 함께, 지갑의 전체 니모닉(시드 문구)이 가려지지 않은 채 찍힌 종이가 포함되어 있었던 것으로 밝혀졌다.

이후 블록체인 분석가들에 의해 유출된 시드 문구로 접근 가능한 이더리움(ETH) 주소가 특정되었고, 해당 주소가 PRTG 400만 개를 보유한 후 다른 지갑으로 전량 이동한 정황이 확인되었다. 온체인 기록에 따르면 이 주소에는 총 3건의 입금이 이루어진 후, 단 한 건의 출금으로 정확히 400만 PRTG가 외부 지갑으로 이전되었다.

한성대학교 블록체인 연구센터의 조재우 부교수는 27일(금) X(구 트위터)를 통해 “국세청의 보도자료로 인해 유출된 니모닉으로 약 480만 달러 상당의 PRTG 400만 개가 탈취된 것을 확인했다”고 밝혔다. 다만 그는 “다른 노출된 니모닉은 큰 문제로 이어질 가능성이 낮아 보인다”며, 탈취된 토큰의 현금화가 쉽지 않다는 점을 지적하며 “실질적인 피해는 미미할 것”이라고 평가하였다. 이번 사건이 공공기관의 가상자산 수탁 시스템을 정비하는 계기가 되기를 바란다고 덧붙였다.

이번 사고는 한국 당국에서의 가상자산 보관 및 관리 체계의 허점이 여실히 드러난 또 다른 사례로 자리 잡고 있다. 수사당국은 2026년 2월, 2021년 해킹 사건 수사 과정에서 압수한 비트코인 22개가 강남경찰서 금고에 보관된 콜드월렛에서 사라진 사실을 확인했다. 이 사건과 관련하여 26일(목) 용의자 두 명이 체포되었고, 조사 결과 코인이 이동하는 데 사용된 니모닉이 경찰이 통제하는 문구가 아니었다는 정황이 밝혀졌다. 이는 압수 가상자산 관리 프로세스에 대한 의문을 불러일으키고 있다.

한편, 규제당국은 빗썸의 ‘팻핑거’ 프로모션 논란으로 인해 압박을 받고 있다. 빗썸은 존재하지 않는 비트코인 약 430억 달러(약 62조 515억 원) 규모를 사용자 계정에 잘못 반영하는 사고가 발생했으며, 금융위원회가 이를 사전에 파악하지 못했다는 비판이 제기됐다.

전문가들은 국세청의 시드 문구 유출과 경찰의 압수 코인 분실, 거래소의 운영 리스크가 잇달아 발생함에 따라 공공기관 및 민간 부문의 '가상자산 커스터디'와 내부 통제 기준을 어떻게 강화할 것인지가 향후 신뢰 회복의 열쇠가 될 것이라고 보고 있다.

결국, 지금 이 시점에서 “콜드월렛이면 안전하다”라는 막연한 믿음이 얼마나 위험한지를 재확인하게 되며, 커스터디에서 가장 치명적인 요소는 장비가 아니라 운영 절차와 보안 습관임을 다시금 상기해야 한다. 따라서 각 개인과 기관은 지갑, 시드 문구, 거래소의 입출금 및 내부 통제 리스크를 구조적으로 이해하고 점검하는 시스템을 갖추는 것이 절실해 보인다.

이 사건은 개인 투자자에게도 중요한 경고가 된다. 투자자는 항상 위험을 염두에 두고, 사고를 예방하는 시스템을 확립해야 하며, 자산의 보안에 대한 이해도를 높이는 것이 필수적이다.