광주지방검찰청이 압수 보관 중이던 비트코인 약 700억 원이 피싱 공격으로 유출된 사건이 확인됐다. 사고 경위, 법적 맥락, 보안 허점, 암호화폐 제도적 과제를 분석한다.
최근 국내 사법기관에서 충격적인 사건이 발생했다. 광주지방검찰청이 범죄 수익으로 압수해 보관 중이던 비트코인 수백억 원어치가 외부로 유출돼 사실상 회수 불가능한 상태가 됐다는 사실이 확인된 것이다. 다른 굵직한 뉴스에 묻혀 관심에서 벗어난 느낌인데 이번 사고는 단순한 관리 사고가 아니다. 디지털 자산 시대에 국가 기관의 보안 체계가 얼마나 취약한지를 드러낸 상징적 사건이다. 이 글에서는 사건의 경위와 구조적 문제, 그리고 앞으로의 제도적 과제를 차분히 짚어본다.
압수 비트코인은 어떻게 사라졌나
해당 비트코인은 범죄 수익으로 추정되어 검찰이 압수해 보관하던 디지털 자산이다. 수사기관은 이를 임의로 처분할 수 없으므로 판결 확정 전까지 보관 책임을 진다. 다시 말해 국민 재산과 다름없는 자산이었다.
사건이 드러난 계기는 내부 정기 점검 과정이었다. 담당 직원이 잔액을 확인하던 중 기존에 존재하던 비트코인이 대규모로 빠져나간 사실을 발견했다. 이후 조사 과정에서 피싱 공격에 노출됐을 가능성이 유력하게 제기됐다. 정황에 따르면 직원이 점검 과정에서 정상 사이트로 위장한 가짜 페이지에 접속했고, 이 과정에서 지갑 접근 정보와 개인키가 외부에 노출됐을 가능성이 높다. 암호화폐는 개인키를 탈취당하면 소유권 자체가 사실상 이전된다. 이 때문에 송금이 완료된 뒤에는 추적이 가능하더라도 회수는 극히 어렵다. 피해 규모는 약 700억 원 수준으로 추산된다. 수사기관이 직접 관리하던 자산이 이 정도 규모로 증발했다는 점에서 충격은 더 크다.
법적으로는 인정됐지만 준비되지 않았던 현실
이 사건이 더 상징적인 이유는 시기적 배경에 있다. 최근 대법원은 거래소에 보관된 비트코인을 압수 가능한 재산으로 인정한다는 판결을 내렸다. 암호화폐의 재산성을 명확히 인정한 중요한 판례였다.
문제는 법적 지위는 정리됐지만, 실무 체계는 거의 준비되지 않았다는 점이다. 압수된 암호화폐를 어떤 방식으로 보관해야 하는지, 접근 권한을 어떻게 분산시켜야 하는지 해킹 사고 발생 시 책임 구조는 어떻게 설정할지에 대한 기준이 사실상 부재에 가까웠다. 전통적인 압수물 보관 개념을 디지털 자산에 그대로 적용한 결과 고가의 암호화폐가 USB 등 이동식 장치에 의존해 관리됐다는 점은 구조적 허점을 그대로 보여준다. 법은 앞서갔지만 행정 시스템은 그 속도를 전혀 따라가지 못하고 있는 셈이다.
기술이 아니라 체계의 문제
일부에서는 암호화폐가 위험해서 생긴 사고라고 단순화하지만 본질은 전혀 다르다. 문제는 기술이 아니라 관리 체계이다.
암호화폐 보관에는 이미 수년 전부터 검증된 보안 방식들이 존재한다. 멀티시그 지갑처럼 여러 명의 동시 승인이 있어야만 자산 이동이 가능한 구조, 인터넷과 물리적으로 분리된 콜드월렛 보관, 접근 권한의 분산 관리 등이 기본 원칙이다. 그러나 이번 사건 정황을 보면 이러한 기본 원칙조차 적용되지 않았던 것으로 보인다. 단일 직원 접근 구조, 개인키 단독 관리, 피싱 대응 교육 부족이 겹치면서 단 한 번의 실수가 수백억 원 손실로 이어진 것이다. 일반 투자자에게는 수년째 강조돼 온 보안 상식이 국가기관에서는 제대로 작동하지 않았다는 점에서 더 큰 허탈감이 남는다.
이번 사고는 단순한 내부 해프닝으로 끝날 사안이 아니다. 국가가 보관하던 자산이 허술한 관리로 유실됐다는 점에서 행정 신뢰의 문제와 직결된다. 앞으로 암호화폐 관련 범죄가 늘어날수록 압수 자산 규모도 계속 커질 수밖에 없다. 그때마다 비슷한 방식으로 관리된다면 사고는 반복될 수밖에 없다. 필요한 것은 처벌이 아니라 구조 개선이다. 암호화폐 압수 자산에 대한 국가 표준 보관 시스템, 전담 기술 인력 배치, 외부 보안 감사 체계, 그리고 실질적인 교육 시스템이 반드시 구축돼야 한다. 그렇지 않으면 디지털 자산을 다루는 국가 시스템 자체에 대한 신뢰는 더 크게 흔들릴 수밖에 없다.
광주지검 비트코인 유출 사건은 단순한 보안 사고가 아니라, 디지털 자산 시대에 국가 시스템이 얼마나 준비돼 있었는지를 보여주는 거울이다. 법적 재산성은 인정했지만, 관리 체계는 여전히 아날로그 수준에 머물러 있었다는 점이 이번 사건의 핵심이다. 암호화폐의 문제가 아니라, 관리 방식의 문제였다. 그리고 이 문제를 바로잡지 않으면, 다음 사고는 또 다른 기관에서 반복될 가능성이 높다. 지금 필요한 것은 변명이 아니라, 구조적 개편이다.