한국 국세청이 공식 보도자료에서 레저(Ledger) 하드웨어 지갑 사진과 손으로 적힌 전체 시드 문구가 가려지지 않은 상태로 공개하면서, 정체가 밝혀지지 않은 행위자가 몇 시간 만에 지갑에서 프리-레토지움(Pre-Retogeum, PRTG) 토큰 400만 개를 빼내 갈 수 있었다.
약 20시간 뒤 토큰은 returned 되었지만, 이번 사건은 정부 기관이 압수한 디지털 자산을 어떻게 보관·관리하는지와 관련해 중대한 수탁 공백을 드러냈다.
해당 보도자료는 체납자에 대한 강력한 징수·집행 사례를 보여주기 위한 것으로, 국세청의 압수 실적을 강조하는 데 초점이 맞춰져 있었다. 그런데 사진 속 시드 문구는 어느 부분도 모자이크나 블러 처리 없이 그대로 노출돼 있었다.
온체인 데이터를 분석한 한성대학교 블록체인 연구원 조재우에 따르면, 정체불명의 행위자는 먼저 가스비를 충당하기 위해 소량의 ETH를 입금한 뒤, 세 건의 거래를 통해 총 400만 개의 PRTG 토큰을 외부로 이동했다.
480만 달러 헤드라인 vs. 실제 유동성
480만 달러라는 명목 가치는 PRTG의 상장 가격을 기준으로 한 것이지만, 상당 부분은 이론상의 숫자에 가깝다.
이 토큰은 MEXC에만 listed 되어 있었고, 사고 당시 24시간 거래량은 332달러 수준에 불과했으며, 디파이에서 거래할 수 있는 탈중앙화 거래소 페어도 없었다. 또한 이번에 이동된 400만 개는 전체 공급량의 40%에 해당했다.
이 때문에 실제로는 표면가에 근접하는 규모로 현금화하는 것이 사실상 불가능했을 것으로 보인다. 조 연구원은 X(옛 트위터)를 통해 “실제 피해 규모는 무시할 수 있는 수준”이라고 지적하며, 같은 보도자료에서 노출된 다른 니모닉 역시 추가 문제를 일으킬 가능성은 크지 않아 보인다고 덧붙였다.
반복되는 수탁 실패 패턴
이번 일은 몇 주 사이 한국 당국에서 발생한 세 번째 중대 암호화폐 수탁 사고다.
2월 초, 서울 강남경찰서는 2021년 해킹 사건 수사 당시 압수해 경찰 금고의 콜드월렛에 보관 중이던 비트코인(BTC) 22개가 seized 이후 외부로 유출된 사실을 확인했다. 수사 결과, 경찰이 통제한 적 없는 니모닉을 이용해 코인이 이동된 정황이 드러나면서 용의자 두 명이 체포됐다.
별도의 사건으로, 거래소 빗썸은 2월 초 내부 시스템 오류로 인해 약 62만 BTC, 시가로 약 430억 달러에 해당하는 가짜 잔고를 이용자 계정에 잘못 반영하는 사고를 냈다. 금융위원회는 중대한 내부 통제 미비를 미리 포착하지 못했다는 비판이 제기되자 이 사건에 대한 조사를 연장했다.
조 연구원은 이번 국세청 사건이 한국 공공기관 전반에 제대로 된 디지털 자산 수탁 기준을 마련하는 계기가 되기를 바란다고 말했다.