400억이 증발하는 데 걸린 시간 14분…

[칼럼] '디지털 자산'을 '아날로그'로 가둔 대가

"설마 했던 일이 터졌다."

광주지검에서 압수하여 보관 중이던 400억 원 상당의 비트코인이 해킹으로 탈취당했다는 소식은 단순한 사건 사고를 넘어, 우리 공공기관의 디지털 자산 관리 실태가 얼마나 참담한 수준인지를 적나라하게 보여주는 '예고된 참사'다.

범인이 57개로 나뉜 지갑에서 비트코인 320개를 빼내는 데 걸린 시간은 고작 14분이었다. 검찰은 담당 수사관이 인수인계 과정에서 피싱 사이트에 접속한 것이 원인이라고 해명했지만, 이 사건의 본질은 '개인의 부주의'가 아닌 '시스템의 부재'에 있다.

금고 없는 은행, USB에 담긴 400억

가장 충격적인 사실은 수백억 원에 달하는 국고 귀속 예정 자산이 담당 수사관 개인의 관리 영역에 방치되어 있었다는 점이다. 보도에 따르면 수사관들은 지갑 정보를 USB에 담아 보관하거나, 개인적 차원에서 수량을 확인했다.

이는 마치 압수한 금괴 400억 원어치를 전문 금고가 아닌 수사관 개인 책상 서랍에 넣어두고, 열쇠를 주머니에 넣고 다닌 꼴이나 다름없다. 블록체인 기술의 핵심은 탈중앙화라지만, 이를 압수물로 관리하는 기관의 시스템마저 탈중앙화(개별 관리)되어서는 안 된다. 개인 PC나 USB는 물리적 분실, 해킹, 내부자의 유혹 등 수만 가지 위험에 노출된 가장 취약한 보관소다.

'휴먼 에러'를 막지 못하는 원시적 시스템

금융권이나 가상자산 거래소는 거액의 자산을 이체할 때 '다중 서명(Multi-sig)' 방식을 사용한다. 여러 개의 키를 가진 관리자가 동시에 승인해야만 자산이 이동할 수 있는 구조다.

그러나 이번 사건에서는 단 한 번의 피싱 접속, 혹은 단 한 명의 실수(또는 고의)로 57개 지갑의 빗장이 모두 풀렸다. 이는 공공기관의 관리 체계에 최소한의 견제 장치나 승인 프로토콜이 없었음을 의미한다. 담당자 한 명이 클릭 한 번으로 수백억을 날릴 수 있는 구조라면, 그 책임은 클릭한 사람뿐만 아니라 그런 허술한 환경을 방치한 기관 전체에 물어야 한다.

'커스터디(Custody)' 도입, 선택이 아닌 필수

해외 선진국은 일찌감치 이 문제를 제도적으로 해결했다. 미국 연방보안관실(USMS)은 압수한 가상자산을 전문 수탁 기관(Custody)에 맡겨 관리한다. 보안 전문 기업이 최고 수준의 보안 기술로 자산을 지키고, 기관은 법적 절차만 밟으면 된다. 독일 역시 다단계 승인 시스템을 갖춘 자체 지갑을 개발해 운용한다.

반면, 한국은 가상자산 범죄 수사 역량은 키웠을지 몰라도, 압수물 관리 역량은 구석기시대에 머물러 있다. 수사관 개개인에게 '보안 서약서' 한 장 받고 수백억 자산의 키를 맡기는 관행은 이제 멈춰야 한다.

결론: 시스템이 신뢰를 만든다

이번 사건은 빙산의 일각일지 모른다. 가상자산 범죄가 급증함에 따라 앞으로 수사기관이 압수할 코인의 규모는 조 단위로 불어날 것이다.

지금이라도 공공기관의 가상자산 관리 매뉴얼을 전면 재검토해야 한다.

* 전문 수탁(Custody) 제도의 도입을 통해 관리 주체를 개인에서 전문 시스템으로 이관하고,

* 다중 승인 체계를 의무화하여 단일 실패 지점(Single Point of Failure)을 제거해야 한다.

400억 원 수업료는 너무 비쌌다. 하지만 이를 계기로 시스템을 뜯어고치지 않는다면, 다음에는 '조 단위'의 국민 혈세가 단 몇 분 만에 증발하는 꼴을 보게 될지도 모른다. 디지털 자산을 다루려면, 행정 마인드부터 디지털화해야 할 때다.