검경 비트코인 분실 재발 막는다…공공 가상자산 '콜드월렛 격리' 의무화

(세종=뉴스1) 전민 심서현 기자 = 정부가 수사·징세 과정에서 압수·압류한 가상자산을 인터넷과 차단된 콜드월렛(오프라인 저장장치)에 보관하고, 개인키와 복구구문 등 접근 정보를 2인 이상이 분할 관리하도록 의무화하는 내용의 가이드라인을 마련해 즉시 시행에 들어간다.

정부는 10일 정부서울청사에서 구윤철 부총리 겸 재정경제부 장관 주재로 비상경제본부 회의 겸 경제관계장관회의를 열고 '공공분야 가상자산 보유·관리체계 개선방안'을 발표했다.

이번 대책은 검찰청, 경찰청, 국세청 등 법 집행 기관의 잇따른 가상자산 유출·분실 사고가 직접적인 계기가 됐다.

검찰청은 지난해 8월 업무 인수인계 과정에서 피싱 사이트 접속으로 복구구문(니모닉 코드)이 유출되면서 320 BTC(300억 원 상당)를 탈취당했다. 경찰청은 2021년 11월 압류 후 USB에 보관한 22 BTC(21억 원 상당)를 올해 2월에야 분실 사실을 파악했다. 국세청은 올해 2월 보도자료 배포 과정에서 복구구문이 외부에 노출되면서 400만 PRTG(수백만 원 추정)가 탈취됐다.

재정경제부에 따르면 6일 기준 중앙정부가 보유한 가상자산은 780억 원 규모다. 경찰청(22억 원), 국세청(521억 원), 검찰청(234억 원), 관세청(3억 원) 등 법 집행 기관이 수사·징세 과정에서 압수·압류를 통해 취득한 것이 대부분이다.

공공기관의 경우 적십자사(1억 6000만 원), 서울대병원(2억 원) 등 3억 6000만 원을 기부금 형태로 보유하고 있다. 지방정부는 지방세 징수 대비를 위해 58개 지자체에서 거래소 계정을 개설했으나, 실제 보유 잔액은 없는 것으로 파악됐다.

가상자산 강제 징수액은 2022년 6억 원에서 2023년 368억 원, 2024년 381억 원, 2025년 639억 원으로 가파르게 증가하는 추세다. 국내 가상자산 등록 계정 수도 2022년 말 1178만 개에서 지난해 말 2591만 개로 두 배 이상 늘었다.

정부는 그러나 대부분의 기관에서 내부관리 규정·지침이 없거나 구체성이 부족하다는 사실을 이번 전수점검에서 확인했다. 경찰청이 비트코인 분실 사고 이후 압수물 관리체계 개선계획을 시행 중인 점을 감안해, 이를 토대로 관계부처 합동의 표준 관리체계를 마련했다.

개선방안의 핵심은 취득에서 보관, 관리·점검, 사고 대응으로 이어지는 전 단계에 걸친 체계적 관리 시스템 구축이다.

우선 압수·압류 현장에서 즉시 기관 명의의 지갑으로 점유를 이전하고, 거래소에 보관된 가상자산에 대해서는 해당 사업자의 협조를 얻어 계정을 즉시 동결하도록 했다. 기부받은 가상자산은 수령 즉시 현금화하는 것을 원칙으로 삼았다.

보관 방법에서는 콜드월렛 보관이 핵심이다. 기관 지갑 생성 시 발급되는 개인키와 복구구문 등 중요 정보는 2인 이상의 담당자가 각자 맡은 부분만 분할 확인하도록 의무화했다.

이 같은 접근권한 분산 조치는 국세청 사고처럼 복구구문이 단일 경로로 유출되는 것을 막기 위한 조치다. 위탁보관 시에도 복수 인원이 서명해야만 가상자산을 이체할 수 있는 다중서명 체계를 적용하도록 했다.

사고 대응 체계도 명확히 규정했다. 해킹이나 탈취 등 유출 사고 발생 시 즉시 신규 지갑을 생성해 잔존 자산을 이전하고, 계정 동결과 관련 시스템 접근 차단 등 비상조치를 시행해야 한다.

피해 금액이 일정 기준을 초과하거나 외부 해킹이 확인된 경우에는 경찰청·국정원·한국인터넷진흥원에 즉시 통보하고, 재경부와 행정안전부에도 보고하도록 했다. 가이드라인 위반으로 사고가 발생하면 관련자는 견책에서 파면까지 징계받거나 형사 고발될 수 있다.

관리 역량 강화를 위해 가상자산 보유 규모에 따라 전담 조직 또는 전담 인력을 지정하도록 했다. 또 개인키 및 복구구문 관리 방법, 보안사고 대응 절차 등을 포함한 정기 교육을 의무화하고, 가상자산 유출 사고 대응 모의훈련도 연 1회 이상 실시하도록 규정했다.

재경부 관계자는 "기관 지갑을 별도로 만들어 압수·압류 자산을 이전하고, 개인키와 복구 구문을 2인 이상이 분할 관리하는 것이 핵심"이라며 "전반적인 보안 조치와 전담 조직, 사고 대응까지 전반적으로 새롭게 마련한 조치"라고 밝혔다.

이번 가이드라인은 이날 전 부처·공공기관·지방자치단체에 배포해 즉시 시행된다. 재경부는 중앙부처를, 행안부는 지방정부를 각각 담당해 가이드라인을 배포한다.

min785@news1.kr