1. 검찰·경찰·국세청 압수한 비트코인 유출 사건
금고에 넣었다. 자물쇠를 채웠다. 열쇠를 따로 보관했다. 그런데 내용물이 사라졌다. 물리적 세계에서라면 모순이다. 그런데 2025년과 2026년 사이, 한국의 세 국가기관이 이 문장을 현실로 경험했다. 검찰, 경찰, 국세청. 세 기관이 서로 다른 시점에, 서로 다른 자산을 잃었다. 그런데 원인은 같았다.
2025년 8월 광주지방검찰청에서 범죄 수익으로 압수한 비트코인(Bitcoin) 320개를 보관하고 있던 담당 수사관은 그 잔고를 확인하려 했다. 렛저(Ledger) 하드웨어 지갑의 공식 사이트에 접속하려던 그는 피싱 사이트에 접속했다. 화면은 니모닉(mnemonic) 24단어의 입력을 요구했고, 수사관은 그대로 입력했다. 입력을 마친 직후, 약 400억 원 상당의 비트코인이 외부 지갑으로 이동했다. 피싱 사이트가 요구한 것은 24개 단어 뿐이었다. 검찰이 이 사실을 파악한 것은 6개월이나 지나서다.
2. 니모닉은 비트코인 빼내는 열쇠 : 범행수법에 이용
잔고를 확인하는 데 니모닉은 필요하지 않다. 블록체인 탐색기에 주소(address)만 입력하면 누구든 해당 주소의 잔고를 조회할 수 있다. 반면 니모닉은 자산을 움직일 수 있는 열쇠다. 잔고를 확인하려던 의도와 달리 통제권 자체를 넘긴 것이다. 비밀번호였다면 유출 직후 바꾸면 되었을 것인데, 왜 바꾸지 못했을까.
2021년 11월 서울 강남경찰서는 수사 과정에서 비트코인 22개가 보관된 USB 형태의 콜드월렛(cold wallet)을 제출받았다. 당시 시세로 약 21억 원 상당이었다. 지침은 압수한 디지털자산을 경찰이 관리하는 별도의 콜드월렛으로 이전하도록 규정하고 있다. 그러나 해당 경찰서는 디지털자산을 이전하지 않았다. USB가 경찰서 안에 있으니 자산도 안전하다고 판단한 것이다.
3. 니모닉 파악한 일당, 경찰 외부에서 지갑복원으로 비트코인 인출
2022년 5월, 해당 콜드월렛의 니모닉을 알고 있던 업체 운영자 등 2명이 경찰서 외부에서 지갑을 복원하여 비트코인 전량을 인출했다. USB를 꺼내 간 것이 아니다. 경찰서에 침입한 것도 아니다. 니모닉 단어의 조합만 있으면 어디서든 지갑을 열 수 있었다.
USB는 여전히 증거 보관실에 있었다. 물리적 매체가 제자리에 있다는 사실이 오히려 안심의 근거가 되었는지, 이 사실은 4년 가까이 알려지지 않았다. 2026년 2월에야 A씨가 구속되면서 사실이 확인됐다. USB는 분명 압수했다. 그런데 왜 빼갈 수 있었을까.
4. 국세청의 디지털 자산 정보 공개하는 실수
2026년 2월, 국세청은 고액 체납자에 대한 가상자산 압류 실적을 알리는 보도자료를 배포했다. 그 보도자료 사진에는 레저 하드웨어 지갑의 실물과 함께, 시드 구문(seed phrase) 12단어가 적힌 종이가 고해상도로 촬영되어 있었다. 단어 하나하나가 선명하게 읽히는 상태였다.
자료가 공개된 뒤, 해당 지갑에 연결된 토큰 400만 개가 외부 주소로 이동했다. 하드웨어 지갑 본체를 열지 않아도 상관없었다. 사진에 담긴 12개의 단어만으로 충분했다. 탈취자는 다음 날 토큰을 돌려놓았다. 그러나 약 두 시간 반 뒤, 또 다른 사람이 같은 방법으로 토큰을 다시 가져갔다.
5. 디지털 자산에 대한 이해부족으로 생긴 사건
세 사건의 원인은 동일하다. ① 지갑, ② 공개키, ③ 개인키가 무엇인지, 디지털 자산의 보관은 물리적 보관과 어떻게 다른지에 대한 이해가 부족하기 때문이다. 가령 “USB에 비트코인이 들어 있다”는 문장은 직관적이지만 정확하지 않다. 디지털자산은 블록체인(blockchain)에 기록으로 존재한다.
USB가 저장하는 것은 자산이 아니라 개인키(private key)다. 주소는 은행의 계좌번호에 해당한다. 누구에게든 공개할 수 있고, 이것만으로는 자산을 옮길 수 없다. 공개키는 주소를 만들어내는 근거이자 서명을 검증하는 수단이다. 개인키는 자산 이동을 승인하는 유일한 열쇠다.
6. 해커들, 국세청 지갑에서 코인 400만 개 인출
개인키는 256비트 난수에서 출발하고, 여기서 공개키(public key)가, 공개키에서 지갑 주소가 일방향으로 도출된다. 개인키가 있으면 공개키와 주소를 모두 도출할 수 있지만, 반대 방향은 불가능하다. 가장 중요한 것은 공개키와 지갑 주소의 근원이 되는 개인키이다. 이 개인키는 정할 수 있는 것이 아니라, 난수 중에서 임의로 선택된다.
김춘수 시인은 “내가 그의 이름을 불러 주기 전에는 그는 다만 하나의 몸짓에 지나지 않았다”고 썼다. 2의 256제곱개에 달하는 난수는 선택되기 전까지 아무 의미가 없다. 그러나 누군가 그 수를 개인키로 선택하면 – 이름을 불러주면 – 공개키가 생기고, 주소가 만들어지고, 그 주소에 자산이 연결된다. 무의미한 숫자가 수백억 원의 열쇠가 된다. 꽃이 피는 것이다.
7. 개인키 속성 3가지
개인키에는 세 가지 속성이 있다.
(1) 블록체인 주소는 개인키 하나 선택하면 허가가 필요없다
첫째, 무허가(permissionless). 은행 계좌를 개설하려면 신분증과 본인 인증과 은행의 승인이 필요하다. 블록체인 주소는 개인키를 하나 선택하는 순간 결정되고, 즉시 유효하다. 만드는 데도 허가가 필요 없고, 접근하는 데도 허가가 필요 없다. 국세청 사건에서 사진을 본 누구든 그 지갑에 접근할 수 있었던 이유다. 신원을 확인할 절차도, 중간에서 막아줄 기관도 없었다.
(2) 개인키 주소 한번 정해지면 변경 불가
둘째, 변경 불가(immutable). 은행 비밀번호는 유출되면 재설정하면 된다. 개인키는 주소를 결정하는 수학적 근거이므로, 키를 바꾸면 주소 자체가 달라진다. ‘변경’이란 없다. “폐기 후 신설”만 가능하다. 검찰 사건에서 니모닉이 노출된 뒤 통제권을 되찾을 수 없었던 이유다.
(3) 개인키는 원본·사본 구별 없어 복제 가능
셋째, 복제 가능(replicable). 개인키는 숫자이고, 숫자에는 원본과 사본의 구별이 없다. BIP-39 표준에 따른 니모닉은 개인키를 사람이 읽을 수 있는 영단어 목록으로 변환한 것이다. 동일한 단어 조합을 입력하면 어디서든 동일한 키가 복원된다. 경찰 사건에서 USB가 증거 보관실에 있었는데도 비트코인이 인출된 이유다. 같은 숫자를 아는 사람은 금고 밖에서 동일한 문을 연다.
8. 마무리 : 디지털 자산에 대한 이해 철저
세 기관의 사건은 각각의 수사와 감사를 거쳐 종결을 향해 가고 있다. 그러나 사건이 남긴 질문은 끝나지 않았다. 디지털자산이라는 꽃은 이미 피었고, 그 꽃을 다루는 기관과 기업은 늘어나고 있다. (1) 허가 없이 만들어지고, (2) 바꿀 수 없으며, (3) 복제할 수 있는 열쇠의 구조를 이해하지 않은 채 다루면, 세 기관의 사건은 반복될 수밖에 없을 것이다.
-출처-
2026. 3. 28. 법률신문 김동재 변호사(두나무 업비트정책실) USB에 비트코인이 들어있다는 착각