“내가 국세청 400만개 코인 훔쳤다”…처벌 수위 알아보니

[이데일리 최훈길 기자] 자신이 국세청이 압류한 400만개 가상자산(코인)을 탈취한 범인이라고 주장하는 신고가 접수돼 경찰이 사실관계 파악에 나섰다. 법조계에서는 국세청이 피해 수준이 낮다고 밝힌 데다 범인의 자수 가능성과 과거 판례를 볼 때 중형보다는 상대적으로 낮은 처벌에 그칠 것이란 전망이 제기된다. 여당과 전문가들은 가상자산에 대한 내부통제가 뚫린 공직사회발(發) ‘제2의 빗썸 사태’라며 철저한 재발방지 대책을 촉구했다.

1일 경찰에 따르면 경찰청 사이버테러대응과는 전날 온라인을 통해 이 같은 내용의 신고를 접수하고 사실관계를 파악 중이다. 신고자는 국세청이 ‘니모닉(mnemonic)’ 코드를 노출했다는 내용의 인터넷 게시글을 보고 호기심에 탈취를 시도했으며 다음 날 되돌려놨다고 주장하는 것으로 알려졌다. 경찰은 신고자를 조사해 주장을 확인한 뒤 입건 여부를 결정할 방침이다.

세종시에 위치한 국세청 본청. (사진=이데일리DB)

앞서 국세청은 고액·상습 체납자로부터 압류한 400만개(당시 시세 기준 480만달러, 69억원) PRTG(Pre-Retogeum) 코인을 치명적인 실수로 지난달 27일 탈취당했다. 문제의 발단은 국세청이 지난달 26일 발표한 ‘고액체납자 추적 특별기동반’ 성과 보도자료였다. 보도자료에는 현장수색 결과와 사진이 담겼다.

문제는 수억원의 양도소득세를 납부하지 않은 C씨로부터 가상자산 콜드월렛 4개를 압류한 사실을 홍보하는 과정에서 발생했다. 보도자료 사진에 가상자산 지갑의 핵심 보안 정보인 니모닉 코드가 고스란히 노출된 것이다.

(사진=국세청)

국세청은 고액체납자 압류 사실을 알리는 지난달 26일 보도자료에 USB 형태의 콜드월렛을 공개하면서 니모닉(사진 왼쪽)도 함께 보여줬다. 국세청은 지난달 28일 설명자료에서 당초에는 유출 위험이 없도록 식별 불가능한 가상자산 관련 사진을 보도자료에 첨부하였으나, 기자단에서 국민들께 보다 더 잘 전달하기 위해 원본사진을 요청, 실무자가 가상자산 민감정보가 포함된 사실을 인지하지 못하고 부주의하게 기자단에 원본사진을 제공했다며 실질적 피해 규모는 현금화 가능한 자산이 아니므로 미미한 수준이라고 밝혔다. (자료=국세청) (자료=국세청)

니모닉은 은행의 보안카드 패스워드처럼 가상자산 지갑을 복구하고 자산을 통제할 수 있는 일종의 ‘마스터 비밀번호’다. 12~24개의 영어 단어로 구성된 이 코드만 알면 전 세계 어디서든 해당 지갑에 접근해 자산을 옮길 수 있고 빼돌릴 수도 있다.

이번에 국세청이 보도자료 사진 배포를 통해 니모닉 코드를 노출한 것은 은행 금고의 비밀번호를 공개하고 돈을 털어가라고 홍보한 것과 같다는 지적이 제기된다. 실제로 국세청이 니모닉 코드를 노출한 이후 해당 지갑에 보관돼 있던 400만개의 PRTG 코인이 신원 미상의 지갑으로 지난달 27일 전량 이체됐고, 이튿날 범인이라고 주장하는 인물이 경찰에 신고했다.

관련해 법조계에서는 이번 사건에 특정경제범죄가중처벌법(특경법)상 컴퓨터 등 사용 사기 혐의가 적용될 것으로 보고 있다. 이는 컴퓨터 시스템상 정상 거래인 것처럼 속여 가상자산을 빼돌린 범죄(컴사)로, 특경법 제3조에 따라 범죄이득액이 5억원 이상~50억원 미만은 3년 이상 유기징역, 50억원 이상은 무기 또는 5년 이상 유기징역에 처해질 수 있다.

범죄이득액 산정은 범행 당시 시점이나 범행 당일 시세를 기준으로 하며 통상 글로벌 가상자산 시황사이트인 코인마켓캡 등의 평균가를 참조한다. 이번에 탈취된 400만개 PRTG 코인의 시세는 범행 당시 시점 기준으로 총 480만달러(약 69억원)다.

다만 법조계에서는 실제 선고 형량이 낮아질 가능성도 보고 있다. 범죄이득액만 고려하면 무기 또는 5년 이상 징역이지만 실제 양형에는 범인의 자수 여부, 실제 피해 규모 등도 반영되기 때문이다. 범인이라고 주장하는 신고가 자수한 것으로 판명되면 감형 사유가 될 수 있다. 앞서 국세청은 지난달 28일 설명자료에서 “한성대 조재우 교수(블록체인 센터장)에 따르면 현금화 가능금액이 수천달러에 불과한 등 피해규모가 미미할 것”이라고 밝혀 이 점도 양형에 고려될 전망이다.

익명을 요청한 가상자산 전문 로펌 변호사는 “국세청이 니모닉을 공개해 범행이 이뤄진 만큼 해킹은 아니기 때문에 정보통신망법 위반은 성립되지 않을 것”이라며 “‘컴사’ 위반 혐의만 적용될 것”이라고 말했다. 이어 “다른 사람의 니모닉을 보고 가상자산을 탈취하는 유사 사례가 종종 있는데 ‘컴사’는 절도죄와 비슷하다고 보고 통상 3~10년형이 내려진다”고 전했다.

국세청 출신 차상진 법률사무소 비컴 대표 변호사(더불어민주당 디지털자산TF 자문위원)는 “‘컴사’ 혐의가 적용될 텐데 범인이 자수한 점, 실제 피해액, 과거 판례 등을 고려하면 집행유예 선고가 될 가능성도 있다”고 말했다.

여당과 전문가들은 처벌 수위를 떠나 청와대, 재정경제부, 국세청 등 정부 차원의 철저한 재발방지 대책을 촉구했다.

조재우 한성대 교수(블록체인 센터장)가 지난달 26일 자신의 X 계정(옛 트위터)에 국세청이 배포한 보도자료 사진 관련해 "니모닉을 이렇게 사진찍어 보여주면 어떡합니까??"라며 문제를 지적하는 트윗을 올렸다. (사진=조재우 교수 X)

더불어민주당 디지털자산태스크포스(TF) 위원인 민병덕 의원은 광주지검, 강남경찰서, 국세청 코인 탈취 사건을 언급하며 “국가기관이 스스로 보관하던 디지털자산을 잃어버렸다는 사실은 단순 사고가 아니라 국가적 무능과 무지의 총합”이라며 △국가 차원의 디지털자산 수탁 표준 구축 △전문 인력과 전담 조직 마련을 촉구했다. (참조 이데일리 2월28일자 <수백억 코인 털린 국세청·검경…민병덕 “근본적 개혁해야”>

한국조세정책학회장을 맡고 있는 오문성 경희대 경영대학원 세무관리학과 객원교수(강남대 세무전문대학원 특임교수)는 이데일리 인터뷰에서 “이런 상황에서 어떻게 국세청을 믿고 내년 코인 과세를 맡길 수 있겠는가”라며 “전면 재검토해야 한다”고 강조했다. (참조 이데일리 2월28일자 <“69억 코인 털린 국세청 황당…코인 과세 전면 재검토해야”>)

(자료=국세청, 경찰청 등 취재 종합)

조재우 한성대 교수는 통화에서 “사태의 원인은 시스템과 전문성 부재로 국세청만의 문제가 아니라 공공 전반의 문제”라며 △가상자산 압수·압류 매뉴얼 및 제도화 △전문기관을 통한 가상자산 관리 △공직자들의 가상자산 보안 인식 강화 △공직자들의 가상자산 접근성 보장 등을 촉구했다. (참조 이데일리 2월28일자 <코인 400만개 털린 국세청…이대로 가면 또 털린다>)

차상진 변호사는 “재발방지를 위해 경찰청처럼 국세청도 일단은 민간 가상자산 커스터디(수탁) 전문업체에 압류한 가상자산을 보관했으면 한다”며 “중장기적으로는 예산 낭비 방지 차원에서라도 한 부처가 압류한 가상자산을 통합 보관·관리하는 시스템을 마련해야 할 것”이라고 강조했다.