보도자료에 니모닉 버젓이 노출
400만개 PRTG 토큰 유출 정황

 

국세청이 체납자로부터 압류했다고 공개한 가상자산 저장용 USB(하드월렛) 사진. 지갑 복구를 위한 절대적 마스터키인 ‘니모닉(복구 구문)’이 적힌 종이가 아무런 모자이크 처리 없이 그대로 노출돼 있다. [사진 = 국세청 보도자료]

 

국세청이 고액·상습 체납자들로부터 압류한 가상자산(코인)의 실적을 홍보하려다, 지갑의 핵심 비밀번호인 ‘니모닉’ 구문을 보도자료에 고스란히 노출하는 사고가 벌어졌다.

 

이번 보안 사고로 인해 압류 상태였던 약 480만달러(한화 약 64억원) 규모의 가상자산이 신원 미상의 해커에게 탈취당했을 수도 있는 정황이 드러났다.

 

27일 블록체인 업계에 따르면 국세청은 전날인 26일 ‘고액·상습체납자 124명 현장수색’ 결과를 담은 보도자료를 배포했다. 해당 자료에서 국세청은 총 81억원 상당을 현장에서 압류했다고 대대적으로 홍보했다.

 

문제가 된 것은 ‘사례 3’으로 소개된 체납자 C씨의 강제징수 건이다. 국세청은 C씨의 주소지 서랍장에서 가상자산 월렛(개인지갑) 저장용 USB 4개를 발견하여 압류했다고 밝혔다. 문제는 국세청이 이 성과를 과시하기 위해 배포한 ‘가상자산 저장용 USB’ 현장 사진이다.

 

공개된 사진에는 유명 하드월렛(콜드월렛)인 ‘렛저(Ledger)’의 기기와 함께, 지갑을 복구할 수 있는 영단어 조합인 ‘니모닉’ 코드가 적힌 종이가 모자이크 등 어떠한 보안 처리도 없이 선명하게 찍혀 있었다.

 

가상자산 시장에서 니모닉은 은행 계좌의 공인인증서와 비밀번호, 보안카드를 모두 합친 것과 같은 절대적인 권한을 갖는다. 하드월렛 실물이 없더라도 이 니모닉 코드만 알면 전 세계 어디서든 지갑을 복원해 내부의 자산을 빼낼 수 있다.

 

이더스캔(Etherscan)에 기록된 해킹 의심 지갑의 거래 내역. 탈취자는 가스비(수수료)로 쓰일 이더리움을 먼저 입금한 뒤, 단 3번의 이체로 400만개의 PRTG 토큰을 빼돌렸다. [사진 = 이더스캔]
 

 

이 치명적인 빈틈을 노린 누군가가 즉각 움직였다. 블록체인 데이터 분석 전문가인 조재우 교수에 따르면, 국세청 보도자료로 니모닉이 유출된 지 얼마 지나지 않은 시점(27일 새벽 경)에 해당 지갑에 보관돼 있던 400만개의 PRTG(Pre-Retogeum) 토큰이 신원 미상의 지갑으로 전액 이체됐다. 피해 규모만 480만달러(약 64억원)에 달할 것으로 추정된다.

 

온체인 데이터(이더스캔) 분석 결과, 탈취자는 토큰을 빼내기 위한 전송 수수료(가스비)로 쓰일 소량의 이더리움(ETH)을 먼저 해당 지갑에 입금한 뒤, 3차례에 걸쳐 400만 PRTG 토큰을 자신의 지갑으로 빼돌리는 치밀함을 보였다.

 

전문가들은 이번 사태가 가상자산 관리에 대한 기초적인 상식 부재가 빚은 ‘예견된 참사’라고 입을 모은다.

 

-생략

 

https://n.news.naver.com/mnews/article/009/0005643176?sid=101