공공기관이 털린 가상자산 320억..정부 "암호키 다중보안 의무화"

재경부, 공공 가상자산 관리체계 개선방안
검찰청·경찰청 작년 321억 가상자산 털려
국세청은 암호 유출해 압류자산 탈취 당해
개인키 등 2인 이상이 분할·확인 의무화
기관지갑은 인터넷 차단상태서 해킹 방지
압수 가상자산 거래소 계정은 즉각 동결

[파이낸셜뉴스] 최근 잇따른 공공분야 가상자산 유출 사고를 방지하기 위해 정부가 가상자산 중요 보안 정보를 2인 이상이 분할해 확인하도록 의무화한다. 기관 명의의 가상자산 지갑은 인터넷 연결이 차단된 상태(콜드월렛)로 보관해 해킹을 방지하도록 했다. 압수·압류·동결한 가상자산의 거래소 계정은 즉각 동결 조치된다.

이는 수사기관 등 공공기관이 압류·압수한 가상자산 중에 최근 2년새 300억원 이상이 관리부실로 관리 부실로 탈취당하거나 분실된 사고에 따른 대응 조치다.

검찰·경찰·국세청 가상자산 300억 넘게 털려

10일 재정경제부는 정부서울청사에서 비상경제본부회의 겸 경제관계장관회의를 열어 이같은 내용을 담은 공공분야 가상자산 보유·관리 체계 개선 방안을 발표했다.

박언영 재경부 자금시장분석과장은 "정부 기관의 인식 부족과 관리 소홀로 인한 공공분야 가상자산 유출 사고가 반복적으로 발생하고 있다"며 "이번 방안은 가상자산의 취득과 보관, 관리·점검, 사고 대응으로 이어지는 모든 단계에서 체계적 관리시스템을 마련한 것"이라고 말했다.

재경부에 따르면, 정부와 공공기관이 보유한 가상자산은 총 780억원(4월 6일 기준)에 이른다.

기관별로는 검찰청 234억원, 국세청 521억원, 경찰청 22억원, 관세청 3억원 등 수사와 징세 과정에서 압수·압류한 가상자산이다. 공공기관 중에는 적십자사(1억6000만원), 서울대병원(2억원) 등이 기부금으로 수령한 가상자산을 갖고 있다. 통상 공공기관이 보유한 가상자산은 즉시 현금화한다.

이처럼 압수·징수 등 정부당국의 법 집행 과정에서 가상자산 취득은 빠르게 늘고 있다. 국세청이 강제 징수한 가상자산만 지난 2022년 6억원 정도에서 지난해 639억원으로 100배 이상 급증했다. 그러나 검찰청과 경찰청이 압류·압수한 가상자산 규모는 파악조차 못하고 있는 실정이다.

그동안 가상자산에 대한 명확한 보관·관리 규정도 없었고 관리는 허술했다. 대부분의 기관들은 가상자산에 관한 관리 규정·지침조차 없었다. 관리가 소홀했던 탓에 지난해 검찰청은 300억원, 경찰청은 21억원 상당의 가상자산을 분실했다. 국세청은 지난 2월 자체 추정 수백만원 정도의 가상자산을 탈취당했다. 심지어 이들은 가상자산을 털린 사실조차 한참이 지나서야 뒤늦게 확인했다.

정부의 압수·압류 가상자산 관리는 사실상 무방비 상태였던 셈이다. 이번에 재경부가 뒤늦게나마 공공분야 가상자산 관리 체계 개선 방안을 내놓은 것도 이 때문이다.

복수 관리자가 암호키 분할 관리해야

이번 개선 방안은 가상자산의 다중 보안과 주기적 점검이 핵심이다.

우선 기관 명의 지갑의 보안 체계를 강화한다.

관리기관 지갑 생성 시 발급되는 가상자산 개인키(암호키)와 복구 구문(도난 분실시 복구 정보) 등 중요 정보는 의무적으로 2인 이상이 분할 확인하도록 했다.

이에 대해 박 과장은 "한 사람이 가상자산 모든 암호(개인키, 복구구문)를 관리하는 것이 아니라 복수의 관리자가 두 파트로 나누어 관리하고, 이걸 합쳐야만 암호가 작동하도록 하는 보안 조치"라며 "검찰청, 경찰청, 국세청에서 가상자산 탈취 분실 사고가 발생한 것도 이런 시스템이 없었기 때문"이라고 했다.

또 인터넷 연결이 차단된 '콜드월렛' 보관을 통해 해킹 등으로부터 가상 자산 유출을 방지한다. 위탁 보관 중인 가상자산을 이체할 경우에도 다중 서명을 통과해야 가능하도록 규정했다.

압수·압류한 가상자산 중에 거래소 계정이 있으면 즉각 동결 조치한다. 개인지갑 등에 보관 중인 가상자산은 압수 압류 즉시 기관 명의 지갑에 전송해 신속하게 점유권을 이전해야 한다. 가상자산사업자가 보관 중인 가상자산의 경우, 법 집행 대상자의 거래소 계정 접근을 즉각 차단한다.

또 공공기관이 보유한 가상자산에 대한 거래 및 물리적 통제장치 출입 내역 등의 주기적 관리 점검, 보고도 의무화했다.

가상자산 유출 시 비상조치 매뉴얼도 마련했다.

신규 가상자산 지갑 생성, 잔존자산 즉시 전송, 거래 제한, 계정 동결, 관련 시스템 접근권한 차단 등의 비상조치들이다.

유출 사실은 즉각 경찰청, 재경부 등의 보고토록 했다.

공공기관은 가상자산 관리 규모에 따라 이를 취급, 관리 감독하는 가상자산 전담 조직도 설치, 지정해야 한다. 또한 연 1회 가상자산 유출사고에 대응한 모의 훈련도 실시한다.

skjung@fnnews.com 정상균 기자