한국 국세청이 공식 보도자료에 레저(Ledger) 하드웨어 지갑과 그 옆에 적힌 전체 시드 구문이 보이는 사진을 그대로 공개하면서, 신원이 확인되지 않은 행위자가 수 시간 안에 400만 개의 프리레토지움(Pre-Retogeum, PRTG) 토큰을 지갑에서 빼가는 일이 벌어졌다.
해당 토큰은 약 20시간 뒤 returned 되었지만, 이번 사건은 정부 기관이 압수한 디지털 자산을 어떻게 보관·관리하고 있는지에 중대한 수탁 관리 공백을 드러냈다.
이 보도자료는 체납자에 대한 강제 집행 캠페인을 다루며 국세청의 압수 실적을 보여 주기 위한 목적이었다. 그러나 사진 속 시드 구문의 어떤 부분도 가리거나 흐리게 처리하지 않았다.
온체인 데이터를 분석한 한성대학교 블록체인 연구자 조재우에 따르면, 신원 미상의 행위자가 먼저 소액의 ETH를 입금해 가스비를 충당한 뒤, 세 번의 거래에 걸쳐 400만 개의 PRTG 토큰을 외부로 전송했다.
480만 달러라는 숫자와 실제 유동성의 괴리
480만 달러라는 명목 가치는 PRTG의 상장가를 기준으로 산정된 것이지만, 이 수치는 상당 부분이 이론적인 값에 가깝다.
이 토큰은 MEXC 한 곳에만 listed 되어 있었고, 사건 당시 24시간 거래량은 332달러에 불과했으며, 탈중앙화 거래소 거래쌍도 없었다. 또한 이동된 400만 개의 토큰은 전체 발행량의 40%를 차지했다.
이 때문에 행위자는 표면 가격에 근접한 수준으로는 사실상 매도할 수 없는 상황이었다. 조재우 연구원은 X에서 “실제 피해 규모는 무시해도 될 정도”라고 언급하며, 같은 보도자료에서 노출된 다른 니모닉들도 추가적인 심각한 문제를 일으킬 가능성은 낮아 보인다고 평가했다.
반복되는 수탁 관리 실패
이번 사건은 몇 주 사이에 한국 당국에서 발생한 세 번째 중대한 암호화폐 수탁 관리 사고다.
2월 초에는 서울 강남경찰서가 2021년 해킹 수사 과정에서 압수해 경찰 금고의 콜드월렛에 보관 중이던 비트코인(BTC) 22개가 유출됐음을 확인했다. 수사 결과, 경찰이 통제한 적이 없는 니모닉을 이용해 코인이 이동된 사실이 드러났고, 이 사건과 관련해 용의자 2명이 검거됐다.
별도의 사건으로, 거래소 빗썸은 2월 초 내부 시스템 오류로 약 62만 BTC, 당시 시가 약 430억 달러에 해당하는 가상의 잔고를 이용자 계정에 잘못 반영했다. 이에 대해 한국 금융위원회는 심각한 내부 통제 약점을 사전에 포착하지 못했다는 비판이 일자 해당 사고에 대한 검토를 연장했다.
조재우 연구원은 이번 국세청 사건이 한국 공공기관 전반에 디지털 자산 수탁 표준을 제대로 마련하는 계기가 되기를 바란다고 말했다.