[블록미디어 문예윤 기자] 국내 수사기관이 보관 중이던 압수 디지털자산이 또다시 외부로 유출된 사실이 확인됐다. 2021년 금융범죄 수사 과정에서 확보한 비트코인 22개가 사라지면서 압수 디지털자산 관리 체계 전반에 대한 비판이 커지고 있다.
15일 경찰에 따르면 경기북부경찰청은 지난 13일 서울 강남경찰서가 2021년 압수해 이동식 저장장치(USB)에 보관해 온 비트코인 22개가 외부 전자지갑으로 이체된 사실을 확인하고 수사에 착수했다. 현재 시세 기준 약 21억원 규모다. 저장장치 실물은 그대로였지만 내부에 보관된 디지털자산만 빠져나간 것으로 파악됐다.
비트코인을 인터넷과 분리된 오프라인 환경에 보관하는 방식은 ‘콜드월렛’으로 불린다. USB 형태의 물리적 장치는 ‘하드월렛’에 해당한다. 일반적으로 온라인 지갑(핫월렛)보다 해킹 위험이 낮아 보안성이 높은 것으로 평가된다. 다만 △개인 키 관리 △접근 통제 △정기 점검이 제대로 이뤄지지 않으면 안전성을 담보하기 어렵다.
콜드월렛에 접근하려면 통상 12~24개 단어로 구성된 복구구문(니모닉)을 입력해야 한다. 저장장치가 훼손되거나 분실되지 않았다는 점에서 니모닉을 알고 있는 인물이 자산을 이체했을 가능성도 배제할 수 없다. 압수 이후 별도의 보안 지갑으로 비트코인을 옮기지 않고 기존 형태로 관리해 온 점 역시 관리상 허점으로 지적된다.
콜드월렛이 없어도 복구구문을 알고 있으면 비트코인을 이동시킬 수 있다는 점을 경찰들이 몰랐다면, 더 큰 문제라는 지적이다. 디지털자산의 ABC에 해당하는 기초적인 사실이기 때문이다.
커뮤니티 일각에서는 블록체인의 특성상 모든 거래 기록이 공개 원장에 남는 만큼, 이체된 트랜잭션 주소와 이동 경로를 투명하게 공개해야 한다는 요구도 제기된다. 실제 자금 흐름을 확인할 수 있는 정보가 공개돼야 의혹을 해소할 수 있다는 주장이다.
이번 사안을 두고 ‘콜드월렛 해킹’이나 ‘자산 증발’로 단순 표현하는 것은 기술적 이해가 부족한 접근이라는 지적도 나온다. 콜드월렛은 네트워크에 상시 연결돼 있지 않기 때문에 원격 침투보다는 키 관리 부실이나 내부 접근 통제 문제 가능성에 무게가 실린다는 설명이다. 비트코인이 등장한 지 15년이 넘었음에도 관련 보관 구조와 작동 방식에 대한 이해가 여전히 부족하다는 비판도 제기된다.
해당 사건은 피의자 소재 불명으로 수사 중지 상태였던 것으로 알려졌다. 자산 유출 사실이 장기간 인지되지 않았다는 점에서 상시 점검과 모니터링 체계가 제대로 작동했는지도 도마에 올랐다. 경기북부경찰청은 현재 접근 기록과 자산 취급 인력, 기술적 취약점 여부 등을 전면 조사 중이다. △피싱 가능성 △키 관리 부실 △내부자 개입 여부 등이 주요 쟁점이다. 자금 회수 여부는 아직 확인되지 않았다.
전문가들은 재발 방지를 위해 △다중서명(Multisig) 체계 도입 △정기적 외부 감사 △접근 권한 분산 및 이중 승인 절차 의무화 등 보다 엄격한 보관 프로토콜을 마련해야 한다고 지적하고 있다.
관련 기사
