[크립토퀵서치] 정부가 디지털자산 관리 체계를 마련한 이유는?
[IT동아 한만혁 기자] 재정경제부가 ‘공공분야 가상자산(디지털자산) 보유·관리 가이드라인’을 발표했습니다. 최근 검찰청, 경찰청, 국세청 등 공공기관에서 발생한 디지털자산 유출, 분실 사고가 잇따른데 대한 대책입니다. 이번 시간에는 정부가 디지털자산 보유·관리 가이드라인을 발표한 배경과 세부 내용에 대해 살펴보겠습니다.
검찰·경찰·국세청, 잇따른 유출·분실 사고
지난해 8월 광주지방검찰청은 도박사이트 사건 수사 과정에서 압수한 비트코인 320개를 피싱 공격으로 탈취당했습니다. 당시 압수한 자산을 USB메모리 형태의 콜드월렛(인터넷과 분리된 오프라인 저장 장치)에 보관했는데, 압수물 관리를 담당한 수사관들이 업무 인수인계 과정에서 실제 사이트와 동일하게 만들어진 피싱 사이트에 접속하고 디지털자산 지갑 암호인 니모닉 코드를 입력하면서 비트코인 전량이 외부로 유출된 것입니다.
문제는 유출 사실을 뒤늦게 알았다는 점입니다. 검찰은 정기 점검 과정에서 콜드월렛 실물만 확인하고, 내부 자산까지는 점검하지 않았던 것이죠. 광주지방검찰청은 이후 압수물 국고 환수 과정에서 탈취 사실을 인지했습니다.
경찰청에서도 유사한 사고가 발생했습니다. 강남경찰서는 지난 2021년 11월 압류한 비트코인 22개를 USB메모리에 보관했으나 외부로 유출된 사실을 올해 2월에야 파악했습니다.
국세청은 지난 2월 26일 보도자료를 통해 고액·상습 체납자로부터 압류한 콜드월렛 4개를 공개하면서 니모닉 코드가 담긴 사진을 모자이크 처리 없이 그대로 노출했고, 이에 PRTG 토큰 400만 개를 탈취당했습니다. 국세청은 이에 대해 사과문을 발표하기도 했죠.
이어지는 유출·분실 사고, 전수 점검 실시
이렇게 공공기관의 디지털자산 유출, 분실 사고가 이어지자 재정경제부는 지난 3월 4일 관계 부처 회의를 열고, 중앙정부, 지방정부, 공공기관의 디지털자산 보유 및 관리 현황을 점검했습니다.
그 결과 중앙정부는 수사 및 징세 과정에서 압수, 압류를 통해 총 780억 원 규모의 디지털자산을 보유하고 있었습니다. 기관별로는 국세청 521억 원, 검찰청 234억 원, 경찰청 22억 원, 관세청 3억 원순이었습니다. 공공기관의 경우 적십자사, 서울대병원 등이 기부금으로 수령한 3억 6000만 원 상당 디지털자산을 보유하고 있었습니다. 지방정부는 지방세 징수 중 압류에 대비해 58곳에서 디지털자산 계정을 생성했으나 실제 보유한 자산은 없었습니다.
재정경제부는 점검 과정에서 대부분 기관에 내부 관리 규정, 지침이 아예 없거나 부실하다는 문제점을 도출했습니다. 이에 추가 사고 방지를 위해 공공분야 디지털자산 보유·관리 가이드라인을 마련했습니다. 재정경제부, 금융위원회, 국세청, 관세청, 검찰청, 경찰청, 금융감독원 등이 참여하는 세 차례의 실무협의회를 통해 의견을 수렴한 결과물입니다.
취득부터 사고 대응까지, 전 단계 관리 시스템 구축
이번 가이드라인의 핵심은 디지털자산의 취득, 보관, 관리·점검, 사후 대응으로 이어지는 전 단계에 걸쳐 체계적인 관리 시스템을 마련한 것입니다.
취득 단계에서는 압수, 압류 등 법 집행 현장에서 신속하게 기관 명의 지갑으로 자산을 이전해 통제권을 확보합니다. 디지털자산사업자가 보관 중인 자산의 경우 법 집행 대상자 계정에 대한 접근을 즉시 차단합니다. 기부 등으로 수령한 디지털자산은 수령 즉시 처분해 리스크를 원천 차단합니다.
보관 단계에서는 인터넷과 차단된 콜드월렛 중심으로 보관합니다. 개인키와 복구구문 등 중요 정보에 대한 접근 권한은 2인 이상 분할 확인하도록 의무화합니다. 단일 담당자에 의한 유출 위험을 차단하기 위함이죠. 위탁보관의 경우 직접보관 보안 조치와 다중서명(Multi-Sig) 체계를 적용합니다. 다중서명이란 여러 명의 승인을 거쳐야 거래가 실행되는 방식을 말합니다.
관리·점검 단계에서는 금고, 도어락, CCTV 등 물리적 통제장치를 설치하고, 출입 권한 목록 및 내역을 주기적으로 점검합니다. 위탁 보관 자산은 실사 자료와 입출고 내역, 보안사고 여부 등을 정기적으로 확인해야 합니다. 필요한 경우 디지털자산 주소 조회, 집행 내역, 접근 권한 등을 통합 관리할 수 있는 시스템도 구축할 수 있습니다.
사고 발생 시에는 신규 지갑 생성과 잔존 자산 즉시 전송, 거래 제한, 계정 동결, 관련 시스템 접근 권한 차단 등 비상조치를 즉시 시행합니다. 피해 금액이 일정 기준 이상이거나 외부 해킹이 확인된 경우에는 국가정보원, 경찰청, 한국인터넷진흥원에 즉시 통보하고, 재정경제부와 행정안전부에 보고해야 합니다. 재정경제부는 보고서 작성 및 가이드라인 위반으로 사고가 발생한 경우 관련자에 대한 징계 등을 처분할 계획입니다.
재정경제부는 디지털자산 보유 현황 및 거래 내역 점검, 기관 지갑 관리, 교육 및 훈련, 사고 대응 등을 총괄하는 전담 조직을 설치 및 지정하고, 담당자를 대상으로 지갑 구조, 개인키 및 복구구문 관리 방법, 자산 확보·전송·보관 절차, 보안사고 대응 절차 등 정기 교육을 의무화합니다. 사고 대응 역량을 높이기 위한 모의훈련도 연 1회 이상 실시합니다.
지금까지 재정경제부가 발표한 공공분야 디지털자산 보유·관리 가이드라인에 대해 살펴봤습니다. 이번 가이드라인은 공공기관의 디지털자산 유출, 분실 사고가 연이어 발생한 후에야 나왔다는 점에서 아쉬움이 남습니다. 하지만 이제라도 마련됐으니 실질적인 실행으로 이어져 공공기관이 먼저 신뢰할 수 있는 관리 모범을 보일 수 있기를 기대합니다.
IT동아 한만혁 기자 (mh@itdonga.com)
