검찰이 2021년 도박사이트 압수수색 과정에서 확보한 400억원대 비트코인을 해킹당한 가운데 57개 지갑으로 나눠 보관 중이던 비트코인이 불과 14분 만에 범죄자의 지갑으로 이동한 정황이 확인됐다. 다수 지갑주소가 순식간에 해킹됐다는 점에서 내부자 소행 가능성도 점쳐진다. 검찰이 최소 두 달이 지나서야 해킹 사실을 인지하고 추적에 나선 것으로 추정되는데, 이 자산은 5개월 넘게 범죄자 지갑에 머물러 있는 것으로 파악됐다.
29일 해킹범의 비트코인 지갑주소를 분석한 결과 광주지검이 해킹당한 비트코인 320.8개는 2021년 11월9일 57개 지갑주소로 나뉘어 보관됐다. 비트코인 한 개 가격은 이날 기준 1억2770만원으로 약 410억원 규모 자산이다. 이는 당시 경찰이 도박사이트 운영자 딸의 지갑을 압수하면서 확보한 것으로 2023년 검찰에 넘겨졌다.
이 자산은 약 5년간 이동하지 않다가 지난해 8월25일 오후 3시4분 돌연 하나의 지갑주소로 향했다. 하나로 합쳐진 비트코인은 14분 만인 오후 3시18분 해킹범의 지갑주소로 재차 옮겨졌다. 광주지검은 내부 조사결과 인사에 따른 인수인계 과정에서 수사관들이 비트코인 수량을 확인하려다 피싱사이트에 접속했고 지갑정보가 해킹당했다고 밝혔다. 수사관들은 지갑정보를 이동식저장장치(USB)에 보관했던 것으로 전해졌다.
하지만 57개 지갑주소에서 일제히 자산이 빠져나갔다는 점에서 내부자 소행 가능성도 제기되고 있다. 지갑에서 인출이 이뤄지려면 10여개의 복구코드가 필요한데 피싱사이트를 통해 57개 보안 정보가 일제히 털렸다는 점은 쉽게 납득할 수 없다는 관측 때문이다.
검찰로 추정되는 추격자가 해킹범의 지갑주소에 소액의 비트코인을 입금한 정황도 나타났다. 해킹범의 지갑에는 사고 발생 두 달 만인 지난해 11월9일 오전 3시13분 0.0000033개(약 400원)의 비트코인이 입금됐다. 수사관들은 범죄자 지갑에 소액의 가상자산을 입금해 추적하는 일명 ‘더스트 공격’이라는 기법을 활용한다. 이날도 0.00005개(약 6500원), 0.00000555개(약 700원) 비트코인이 해킹범 지갑으로 입금됐다. 한 가상자산 업계 관계자는 “검찰 또는 추적 의뢰를 맡긴 기관에서 소액을 입금했을 것으로 추정된다”고 말했다.
검찰은 지난해 12월 분실 여부를 확인했고 비트코인 행방에 대한 수사에 나섰다는 입장이다. 해킹된 자산은 아직 움직이지 않고 있다. 검찰은 당시 수사관 5명의 휴대전화를 포렌식하는 등 내부 감찰을 진행하고 있다. 비트코인 탈취가 이뤄졌다는 피싱사이트에 대해서도 수사하고 있다.
전문가는 공공기관의 가상자산 보관이 부실하게 이뤄지고 있다는 사실을 보여준 대표적인 사례라고 꼬집었다.
수백억원에서 수천억원대에 이르는 가상자산을 부서 단위 소수 직원이 보관하는 것은 매우 취약한 구조라는 것이다. 미국 연방보안관실(USMS)은 전문 수탁기관 업체에 압수한 가상자산을 보관하고 있고 독일 연방수사청(BKA)은 다단계 승인시스템을 갖춘 자체 개발 지갑에 자산을 보관한다.
황석진 동국대 국제정보보호대학원 교수는 “현재 국내 방식은 구조적으로 사고 가능성을 안고 있는 상태”라며 “문제가 발생할 경우 현장 담당자 개인에게 책임이 전가될 수 있는 위험한 구조”라고 지적했다.