한국 국세청의 480만 달러 규모 보안 대참사: 국세청이 시드 구문을 직접 촬영하여 48시간 만에 두 번이나 도난당한 경위

세금 체납자의 아파트를 급습하여 하드웨어 지갑 4개를 압수하고, 회수된 증거물을 보여주는 승전보와 같은 보도 자료를 발표했다고 상상해 보십시오. 그런데 사진 속에 지갑의 시드 구문(seed phrase)이 선명하게 노출되어 있습니다. 그리고 몇 시간 만에 도둑이 지갑을 비우고, 경고의 의미로 토큰을 돌려주었으나, 당국이 대응하기도 전에 두 번째 도둑이 이를 다시 훔쳐갔다고 상상해 보십시오.

이것은 크립토 트위터상의 가상 시나리오가 아닙니다. 2026년 2월 말 대한민국 국세청(NTS)에 실제로 일어난 일입니다. 이 실수로 인해 정부는 압수한 약 480만 달러 상당의 프리 레토지움(Pre-Retogeum, PRTG) 토큰을 잃었으며, 늘어나는 압수 디지털 자산을 보유하기에는 대부분의 국가 기관이 얼마나 준비되지 않았는지를 여실히 드러냈습니다.

480만 달러를 삼켜버린 사진 한 장

사건의 전개는 거의 코미디에 가까울 정도로 처참했습니다. 2026년 2월 26일, 국세청 요원들은 양도소득세를 미납한 체납자의 자택을 급습했습니다. CoinDesk에 따르면, 요원들은 최소 4개의 하드웨어 지갑과 확인되지 않은 액수의 현금을 압수했습니다. 여기까지는 표준적인 절차였습니다.

그다음 보도 자료가 문제였습니다. 국세청은 작전을 홍보하기 위해 회수된 물품들을 연출하여 사진을 찍었습니다. 레저(Ledger) 하드웨어 지갑과 니모닉 복구 구문이 적힌 백업 종이 카드를 나란히 배치한 것입니다. 이 이미지는 가림 처리(redaction) 없이 공식 채널에 게시되었습니다. 12단어 또는 24단어로 이루어진 니모닉은 스크린샷 도구와 인내심만 있다면 누구라도 읽을 수 있는 상태였습니다.

The Block에 따르면, 불과 몇 시간 만에 한 관찰자가 시드 구문을 복원하여 지갑을 가져온 뒤 비우기 시작했습니다. 공격자는 먼저 가스비를 지불하기 위해 아주 적은 양의 ETH를 보낸 다음, 세 번의 거래를 통해 당시 약 480만 달러 가치에 해당하는 400만 PRTG 토큰을 새 주소로 모두 이체했습니다.

블록체인 분석가 조재우 씨가 한국 언론에 밝힌 바와 같이, 이 사건은 "지갑을 열어둔 채 온 국민에게 광고한 것"과 다름없었습니다.

상황을 더욱 악화시킨 두 번째 도난

이야기는 첫 번째 도둑에서 끝나지 않았습니다. 상황은 더 기묘하게 흘러갔습니다.

2월 28일, 첫 번째 공격자는 한국 경찰에 연락하여 자신이 화이트햇(white hat) 해커로 활동했다고 주장하며 400만 PRTG 잔액 전액을 원래 국세청이 관리하던 지갑으로 반환한 것으로 알려졌습니다. 성실한 시민의 행동이었으나, 문제는 국세청이 시드 구문을 교체하거나 노출된 자격 증명을 폐기하거나 지갑을 옮기지 않았다는 점입니다. 48시간 전에 유출된 시드 구문은 여전히 활성 키(active key) 상태였습니다.

반환된 지 2시간 후, 동일하게 노출된 니모닉을 지켜보고 있던 것으로 보이는 두 번째 공격자가 지갑을 다시 한 번 싹쓸이했습니다. 그리고 잔액 전액을 블록체인 익스플로러에서 이미 "가짜 피싱(fake phishing)" 활동으로 표시된 주소로 보냈습니다. 이번에는 아무도 돌려주지 않았습니다.

두 번의 도난. 동일한 지갑. 동일한 시드 구문. 서로 다른 공격자들. 48시간도 채 되지 않은 간격.

두 번째 자산 유출은 무엇이 잘못되었는지에 대한 남은 의구심을 완전히 제거했습니다. 국세청은 시드 구문이 공개되었을 때 어떻게 해야 하는지에 대한 보관(custody) 플레이북이 부재했기 때문에, 보안이 뚫린 지갑을 마치 여전히 안전한 것처럼 취급한 것입니다.

이것이 단순히 교육의 문제가 아닌 거버넌스 문제인 이유

이를 단순히 하드웨어 지갑을 한 번도 사용해 본 적 없는 세무 공무원들의 당혹스러운 실수나 초보적인 오류로 치부하기는 쉽습니다. 하지만 그러한 시각은 구조적인 문제를 놓치고 있는 것입니다. 전 세계 정부는 엄청난 양의 압수된 암호화폐를 보유하고 있으며 그 규모는 점점 커지고 있지만, 대부분은 취미 활동가 수준의 운영 성숙도로 이를 다루고 있습니다.

다음과 같은 사례들을 고려해 보십시오 :

• 독일은 2024년 7월, 불법 영화 사이트 Movie2K에서 압수한 50,000 BTC를 코인당 평균 57,600달러에 매각하여 총 약 28.8억 달러의 수익을 올렸습니다. 이후 비트코인 가격은 두 배로 뛰었고, 이는 연말까지 보유했다면 55억 달러 이상의 가치가 있었음을 의미합니다. 판매 시기에 대한 거버넌스 결정만으로도 웬만한 국가의 암호화폐 압수 규모보다 큰 장부상 손실을 낸 셈입니다.
• **미국 연방보안청(USMS)**은 2025년 감사에서 법무부 감찰관에게 정확히 얼마의 암호화폐를 보유하고 있는지 밝히지 못했습니다. 그 이후 수탁 권한을 분할하여 대형 자산인 Class 1은 코인베이스(Coinbase)에, 관리가 까다로운 Class 2–4 알트코인은 CMDSS에 맡겼습니다.
• 대한민국은 기업이 자기자본의 최대 5%를 상위 20개 암호화폐에 할당할 수 있도록 하는 가상자산 기본법 초안을 작성 중입니다. 정작 같은 정부가 압수한 레저 지갑 하나 제대로 보호하지 못하고 있는 실정입니다.

모든 사법권에서 일관된 패턴이 나타납니다. 암호화폐를 압수하는 집행 능력은 이를 보관하고, 회계 처리하며, 궁극적으로 처분하는 기관의 역량을 앞질렀습니다. 한국의 시드 구문 사진은 가장 시각적인 사례일 뿐, 가장 비용이 많이 든 사례는 아닙니다.

정부가 이미 도입했어야 할 커스토디 스택

이 중 민간 부문에서 해결되지 않은 문제는 없습니다. 기관용 디지털 자산 커스토디(Custody, 수탁)는 이미 여러 견고한 아키텍처를 갖춘 성숙한 제품 카테고리입니다. 국세청(NTS)이 압수된 코인을 가공되지 않은 하드웨어 월렛에 보관하고, 증거물 보관실의 누구라도 볼 수 있는 종이 시드 구문을 방치했다는 사실은 암호화 화폐를 암호학적 보호가 필요한 무기명 증서가 아닌 종이 현금처럼 취급하기로 한 선택을 반영합니다.

2026년 기준 정부가 보유한 디지털 자산의 최소 스택은 다음과 같아야 합니다:

1. 다자간 연산 (MPC) 지갑. Fireblocks 와 같은 제공업체는 프라이빗 키를 여러 당사자와 하드웨어 모듈에 분산된 공유분(shares)으로 나눕니다. 단일 요원이 전체 키를 보유하지 않으며, 단 한 장의 사진으로 키가 노출될 수도 없습니다. Ridgeway Financial Services 의 산업 비교 보고서는 DFNS, Fireblocks, Anchorage 간의 아키텍처적 장단점을 자세히 설명합니다.
2. 은행 인가를 받은 적격 커스토디안. Anchorage Digital 은 암호화폐 업계에서 유일하게 OCC 연방 은행 인가를 보유하고 있으며 이미 BlackRock 과 PayPal 에 서비스를 제공하고 있습니다. 세무 당국의 경우, 대부분의 정부가 자체적으로 지폐를 인쇄하지 않는 것처럼 커스토디를 직접 구축하기보다 적격 커스토디안과 계약하는 모델이 적절할 것입니다.
3. 장기 보유를 위한 HSM 기반 콜드 스토리지. FIPS 140-2 레벨 3을 충족하는 하드웨어 보안 모듈(HSM)은 조작 방지 실리콘 내부에 키를 보관합니다. 키는 사람이 볼 수 있는 매체로 내보내지지 않고도 서명에 사용될 수 있습니다.
4. 관리 연속성(Chain-of-custody) 및 전송 정책 소프트웨어. 기관급 플랫폼은 다중 서명 승인, 출금 허용 목록(allowlists), 감사 로그를 강제합니다. 압수 후 "키를 교체하고 새로운 수탁 주소로 전송"하는 워크플로우는 사후 대책이 아닌 의무적인 첫 번째 단계여야 합니다.
5. 공보(Public Communications)를 위한 표준 운영 절차. 이번 사건에서 가장 뼈아픈 실패는 암호학적인 것이 아니었습니다. 검증되지 않은 사진을 게시하기로 한 홍보팀의 결정이었습니다. 성숙한 커스토디 체계는 시드 구문을 정부 통신을 보호하는 암호 키와 동등한 수준의 기밀 자료로 취급합니다.

국세청은 소급적으로 이 모든 조치를 취하기로 약속했습니다. 구윤철 전 국무조정실장(당시 부총리 겸 기획재정부 장관 직무대행 등 관련 보도 맥락 참조)과 관련 당국은 유출 사실을 공개적으로 확인하고 금융위원회와 금융감독원이 참여하는 범정부 조사를 발표했습니다. 세무 당국은 외부 보안 점검을 실시하고 압수부터 매각까지의 전체 생애주기에 대한 매뉴얼을 재작성할 것이라고 밝혔습니다. Cointelegraph 보도에 따르면 국세청은 압수된 암호화폐의 수탁을 민간 전문가에게 맡기는 방안을 적극 검토 중입니다.

이는 올바른 방향입니다. 또한 사진 유출 사고 이후가 아니라, 사고 이전에 이미 정책으로 확립되었어야 할 사항입니다.

규제 대상 투자자들에게 주는 불편한 선례

이번 사건에는 480만 달러의 손실 그 자체보다 더 중요한 2차적인 이야기가 담겨 있습니다.

한국의 디지털자산 기본법은 기업 재무 부서와 전문 투자자들을 규제된 시스템 안으로 끌어들이기 위해 설계되었습니다. 이 프레임워크는 국가가 디지털 자산의 유능한 관리자이며 타인의 관리 감독을 신뢰성 있게 수행할 수 있다는 단순한 전제에 의존합니다. 정부 기관이 보도 자료 사진에서 시드 구문조차 가리지 못하는 모습을 보일 때마다 그 전제는 무너집니다.

일정을 나열해 보면 이러한 모순이 명확히 드러납니다. 금융위원회와 한국은행은 수개월 동안 스테이블코인 발행사의 은행 지분 과반 보유 여부를 두고 논쟁을 벌여왔습니다. 제안된 5% 기업 할당 규칙은 어떤 자산이 적격한지, 어떤 커스토디안이 승인되었는지, 어떤 예치 비율이 적용되는지에 대한 맥락에서 논의되고 있습니다. 그 와중에 동일한 정부의 다른 한편에서는 서류가방 겉면에 비밀번호를 적어놓고 법원으로 지갑을 보내고 있는 꼴입니다.

디지털자산 기본법이 유치하고자 하는 기관 투자자들에게 전달되는 신호는 명확합니다. 규제된 온체인 시스템이 다가오고 있지만, 규제 당국 스스로가 지난 10년간의 셀프 커스토디 교훈을 먼저 습득해야 한다는 것입니다. 그 격차를 좁히는 데는 시간이 걸릴 것입니다.

모든 빌더가 복제해야 할 운영상의 교훈

프로토콜 팀, 커스토디형 거래소, 그리고 도난 자금 회수나 정당한 압수 대응을 위해 언젠가 법 집행 기관의 커스토디와 상호작용할 가능성이 있는 모든 이들에게 이번 한국의 사례는 기억할 가치가 있는 케이스 스터디입니다.

• 모든 키가 운영 경계를 벗어나는 순간 침해된 것으로 간주하십시오. 국세청의 두 번째 손실은 전적으로 예방 가능했습니다. 하드웨어 월렛의 관리권을 넘겨받는 즉시, 해당 잔액을 새로 생성된 기관 제어 주소로 스윕(sweep)하는 것이 올바른 조치입니다. 압수된 지갑은 시드 노출 여부와 관계없이 다시는 사용해서는 안 됩니다.
• 시드 구문이 유출될 수 있다고 가정하고 설계하십시오. 패스프레이즈로 보호되는 "숨겨진" 지갑(흔히 25번째 단어라고 함)은 구현 비용이 저렴하면서도 격리된 시드 구문을 무용지물로 만듭니다. 물리적 위협 시나리오를 대비해 더 나아간 '협박 대응용(Duress) 지갑'을 고려할 수도 있습니다.
• 증거 사진 촬영과 키 소재를 분리하십시오. 하드웨어 월렛은 백업 카드 없이도 촬영할 수 있습니다. 백업 카드는 기본 단어를 노출하지 않고도 일련번호나 해시 커밋먼트를 통해 기록될 수 있습니다. 표준 증거물 워크플로우는 이미 총기의 고유 식별자 등에 대해 이와 같은 방식을 적용하고 있습니다. 암호화폐에도 동일한 규율이 적용되어야 합니다.
• 다자간 시스템에 모든 내역을 기록하십시오. 멀티시그(Multi-sig) 또는 MPC 아키텍처는 출금 시 최소 두 명의 인간이 개입하도록 강제하며, 이는 내부자 오류와 단일 실패 지점 오류 모두에 대해 가장 가성비 높은 방어 수단입니다.

BlockEden.xyz 는 컴플라이언스 및 포렌식 팀이 사용하는 온체인 데이터 파이프라인을 포함하여 20 개 이상의 체인에서 엔터프라이즈급 RPC 및 인덱싱 인프라를 운영합니다. 기관 또는 정부 고객을 위한 커스토디, 모니터링 또는 회수 도구를 구축하고 있다면, 감사를 견뎌낼 수 있는 신뢰할 수 있는 멀티체인 데이터를 위해 저희의 API 마켓플레이스를 살펴보세요.

향후 전망

한국 국세청은 이번의 당혹스러운 사건을 계기로 더 나은 대응 매뉴얼을 마련하게 될 것입니다. 실시간으로 이 상황을 지켜본 다른 국가의 유관 기관들도 마찬가지일 것입니다. 앞으로 1년 동안 국세청, 경찰청, 검찰 등 국가 기관들이 하드웨어 월렛을 직접 관리하는 대신, 전문성을 갖춘 공인 커스터디(수탁) 및 MPC 플랫폼을 도입하기 위한 조달 공고를 조용히 발표할 것으로 예상됩니다.

하지만 더 본질적인 이야기는 정부가 암호화폐를 수동적으로 관망하던 시대가 끝나가고 있다는 점입니다. 정부는 이제 직접 자산을 관리하는 커스터디언이자 경매소가 되고 있으며, 점차 자국 기관들이 사용하는 바로 그 인프라의 규제 기관이 되어가고 있습니다. 레저(Ledger) 사진 유출과 같은 공공 부문의 운영 미숙은 공공 부문의 운영 성숙도와 민간 부문이 2013년부터 고도화해 온 표준 사이의 격차를 좁히는 계기가 될 것입니다.

480만 달러 규모의 PRTG 손실이 마지막 사례는 아닐 것입니다. 하지만 운이 좋다면 가장 교훈적인 사례 중 하나가 될 것입니다.

출처

• South Korea probes $4.8 million crypto theft after tax seizure photo blunder — CoinDesk
• South Korea tax service reveals crypto wallet recovery phrase in press release — The Block
• S.Korea's Tax Agency Leaked Crypto Master Key — and Got Robbed Twice — BeInCrypto
• South Korea Tax Office Eyes Private Custody After Seized Crypto Loss — Cointelegraph
• Clueless cops post seized crypto wallet password. $5M quickly stolen — Ars Technica
• Germany Sold 50,000 Bitcoin Seized from Movie2K for $2.88 Billion — The Defiant
• U.S. Marshals Service, Managing Billions of Seized Assets, Can't Say How Much Crypto It Holds — CoinDesk
• South Korea proposes comprehensive digital asset law — CoinDesk
• Digital Asset Security Platforms Compared — Ridgeway Financial Services