한국 세무 당국의 심각한 보안 허점으로 인해 수백만 달러 상당의 암호화폐가 손실되는 사태가 발생했습니다.
현지 언론 보도에 따르면, 한국 국세청이 보도자료 사진에 압수된 암호화폐 지갑의 복구 키(시드 구문)를 실수로 공개했습니다. 이후 약 480만 달러(약 64억 원) 상당의 토큰이 알 수 없는 지갑으로 이체된 사실이 밝혀졌습니다.
이번 사건은 국가세무청(NTS)이 고액 체납자 및 중복 납세자 124명을 대상으로 한 현장 단속 결과를 발표한 보도자료에서 시작되었습니다. 보도자료에 따르면 총 81억 원(약 820만 달러) 상당의 자산이 압류되었습니다. 이른바 “3번 사건”에서는 납세자 C씨의 주소를 수색하는 과정에서 암호화폐 지갑 저장에 사용되는 USB 드라이브 4개가 압수되었다고 밝혔습니다.
하지만 진짜 문제는 성공을 입증하기 위해 공유된 사진에서 드러났습니다. 사진에는 인기 있는 하드웨어 지갑인 레저(Ledger) 기기와 지갑 복구에 사용되는 영어 단어 문자열인 '니모닉' 코드가 아무런 검열 없이 선명하게 노출되어 있었습니다. 암호화폐 세계에서 니모닉은 은행 계좌 비밀번호와 보안 카드의 조합만큼이나 중요합니다. 실물 기기를 소유하지 않더라도 이 단어들을 알고 있는 사람은 전 세계 어디에서든 지갑을 복원하고 자산을 이체할 수 있습니다.
실제로 이 취약점은 빠르게 악용되었습니다. 한성대학교 블록체인연구소 조재우 소장은 27일 발표한 성명에서 니모닉이 유출된 직후 지갑에 있던 PRTG(Pre-Retogeum) 토큰 400만 개가 알 수 없는 주소로 전송되었다고 밝혔습니다. 총 손실액은 약 480만 달러로 추산됩니다.
이더스캔을 통한 블록체인 데이터 분석에 따르면, 공격자는 먼저 거래 수수료를 충당하기 위해 소량의 이더리움(ETH)을 피해자의 지갑으로 보냈습니다. 그런 다음, 세 번에 걸쳐 400만 개의 PRTG 토큰을 자신의 지갑으로 이체했습니다. 이는 이번 공격이 의도적이고 기술적으로 계획된 것임을 시사합니다.
*본 내용은 투자 조언이 아닙니다.
