광주지검에 이어 서울 강남경찰서에서도 21억원 규모의 비트코인이 유출되면서, 물리적 압수물 관리에만 치중해온 수사기관의 '디지털 보안 불감증'이 수면 위로 드러났다.
13일 경찰에 따르면 서울 강남경찰서는 2021년 11월 범죄 관련자로부터 임의 제출받아 보관해 온 비트코인 22개가 최근 외부로 빠져나간 사실을 확인했다. 현재 시세 기준 약 21억원 규모다.
전문가들은 이번 사건의 핵심 원인으로 가상자산 지갑의 마스터키라 불리는 '니모닉 (Mnemonic) 코드'의 관리 부실을 지목한다.
◆‘복제 열쇠’가 존재하는 디지털 금고
비트코인을 보관하는 콜드월렛(USB 형태의 저장장치)은 그 안에 코인이 직접 들어있는 물리적 장부가 아니다. 블록체인상의 자산을 움직일 수 있는 ‘개인 키(Private Key)’를 생성하고 저장하는 장치일 뿐이다.
가장 유력한 유출 경로는 '니모닉 코드'의 복제다. 콜드월렛은 장치 분실에 대비해 12~24개의 영어 단어로 된 복구 문구(니모닉)를 제공한다. 이 단어 조합만 알면 전 세계 어디서든 똑같은 지갑을 복제할 수 있다.
수사 과정에서 피의자로부터 이 코드를 함께 제출받아 문서화하는 과정에서 보안이 취약한 경찰 내부망 등에 사진이나 텍스트로 저장했다가 해킹당했을 가능성이 크다. 즉, 경찰이 들고 있는 USB는 '열쇠'였지만, 범인은 이미 '복제 열쇠'를 손에 쥐고 있었던 셈이다.
◆‘물리적 관리’에만 머문 구시대적 보안 규정
하지만 강남경찰서 사례처럼 콜드월렛 장치 자체는 금고 안에 그대로 남아 있었다. 데이터만 빠져나가는 상황에서는 물리적 점검이 무용지물이다. 특히 해당 사건이 수사 중지 상태였다는 점을 고려하면, 수사관들이 실제 블록체인상의 잔액을 실시간으로 확인하지 않는 한 유출 사실을 인지하기는 불가능에 가깝다.
◆내부 소행 가능성과 추적의 어려움
광주지검과 강남경찰서 사건 모두 ‘장치는 그대로 둔 채 자산만 인출’했다는 점에서, 지갑의 접근 권한이나 니모닉 코드를 취급할 수 있는 내부 관계자의 소행일 가능성을 배제할 수 없기 때문이다.
유출된 비트코인은 ‘믹싱(Mixing)’ 기술 등을 통해 여러 지갑으로 쪼개져 분산 송금될 경우 추적이 극도로 어려워진다. 가상자산의 가치가 급등한 시점에 맞춰 범행이 이뤄진 점으로 보아, 보안 취약점을 미리 알고 있던 인물이 시세 차익을 노리고 치밀하게 계획했을 가능성도 제기된다.
결국 이번 사태는 디지털 자산 압수 시 다중 승인(Multi-Sig) 시스템 도입과 니모닉 코드의 엄격한 분리 보관 등 현대화된 보안 체계가 부재했음을 증명했다. 사법당국은 뒤늦게 전수 점검에 나섰지만, 이미 뚫려버린 수사기관의 신뢰와 증발한 국가 자산을 회복하기까지는 상당한 시일이 걸릴 것으로 보인다.
[용어 해설]
■ 니모닉(Mnemonic) 코드
가상 지갑 복구 시 사용되는 12~24개의 영어 단어 조합이다. 지갑 생성 시 자동 부여되며, 이 단어들만 있으면 전 세계 어디서든 지갑 내 자산을 그대로 복원할 수 있는 '마스터키' 역할을 한다. 비밀번호를 분실해도 니모닉 코드만 있다면 누구든 접근이 가능하므로 유출 시 자산 전체를 도난당할 위험이 크다. 보안을 위해 종이나 철제판에 기록해 오프라인 상태로 보관하는 것이 원칙이다.
■ 콜드월렛(Cold Wallet)
인터넷 등 외부 네트워크와 완전히 차단된 상태에서 가상자산을 보관하는 물리적 지갑(주로 USB나 하드웨어 형태)이다. 온라인에 연결된 '핫월렛'과 달리 해킹이나 악성 소프트웨어로부터 상대적으로 안전하며, 개인 키가 오프라인 환경에서만 관리되어 보안성이 높다는 특징이 있다. 다만 물리적 장치를 보유하고 있더라도 복구 코드인 '니모닉'이 유출되면 보안 체계가 무력화될 수 있다.
◎공감언론 뉴시스 jmkim@newsis.com