잇따른 가상자산 유출 사고에…정부, 780억원대 공공 가상 자산 관리 대폭 강화

공공부문의 가상자산 유출 사고가 잇따르자 정부가 가상자산을 체계적으로 관리하기 위한 시스템을 구축하기로 했다. 공공기관이 압수나 보관하는 가상자산은 기관의 지갑으로 이전하고, 콜드웰렛과 다중서명체계 등 강화된 보안 기준을 적용한다는 방침이다.

정부는 10일 비상경제본부 회의 겸 경제관계장관회의에서 이같은 내용의 ‘공공분야 가상자산 보유·관리체계 개선방안’을 발표했다.

관계부처에 따르면 최근 가상자산 투자가 활발해지며 정부가 수사·징세 과정에서 취득하는 가상자산 규모도 빠르게 늘고 있다. 지난 6일 기준 중앙정부는 780억원 규모의 가상자산을 보유한 것으로 파악됐다. 기관별로는 국세청(521억원), 검찰청(234억원), 경찰청(22억원), 관세청(3억원) 순이다. 공공기관은 기부금 수령 과정에서 3억6000만원 상당의 가상자산을 갖고 있다.

그러나 가상자산 거래의 확대에도 공공부문의 관리 체계와 인식은 제자리에 있다는 지적이 제기돼 왔다. 실제 국세청은 지난 2월 보도자료에서 가상자산 복구구문(니모닉 코드)이 유출돼 수백만 원 규모로 추정되는 400만 PRTG를 탈취당했다. 서울 강남경찰서는 압류 후 이동식저장장치(USB)에 보관하던 21억원 상당의 비트코인 22개가 외부로 유출된 사실을 뒤늦게 파악했다. 작년 8월 광주지검은 업무 인수인계 중 피싱 사이트 접속으로 300억원 상당의 비트코인 320개를 분실했다.

이에 정부는 가상자산을 ‘취득→보관→관리·점검→사고 대응’으로 이어지는 전 단계의 관리체계를 표준화하기로 했다. 먼저 압수나 압류 등을 통한 취득 단계에서 신속한 점유 이전과 거래소 계정 동결 등을 거쳐 가상자산의 통제권을 확보한다는 방침이다. 개인지갑에 보관된 자산은 압수·압류 즉시 기관 명의 지갑으로 이전하고, 거래소에 보관된 자산은 가상자산사업자 협조를 통해 계정 동결 등 접근 차단 조치를 병행한다.

보관 단계에서는 보안을 대폭 강화한다. 기관지갑은 인터넷 연결이 차단된 콜드월렛 방식으로 관리하고, 개인키와 복구구문 등의 중요 정보는 2인 이상이 분할 관리하도록 의무화한다.

관리·점검 단계에서는 기관이 보유한 가상자산에 대한 접근권한을 엄격히 통제하고, 위탁 보관 자산에 대해서도 주기적인 점검을 의무화했다. 위탁 보관 자산에 대해서는 실사 자료와 입·출고 거래 내역, 보안사고 발생 여부 등을 정기적으로 확인·보고하도록 했다.

부득이 사고가 발생하는 경우 즉시 신규 지갑을 생성해 잔존 자산을 이전하고, 거래 제한·계정 동결·접근 차단 등 비상조치를 시행한다. 피해 규모가 일정 수준 이상이거나 외부 해킹이 확인될 경우 경찰청과 한국인터넷진흥원(KISA)에 즉시 통보하고, 중앙정부는 재정경제부, 지방정부는 행정안전부에 보고하도록 했다. 가이드라인 위반으로 가상자산 유출 등 사고가 발생할 경우 관련자에 대해 징계는 물론 형사 고발까지 가능하도록 했다.

재경부 관계자는 “비밀엄수 의무 위반이나 성실의무 위반 여부, 고의성이나 중과실 여부 등에 따라 징계 수위가 달라지는데, 공무원 징계령 시행규칙에 따라 최소 견책에서 최대 파면까지 가능하다”며 “사안의 중대성에 따라 형사 고발도 병행될 수 있다”고 설명했다.

정부는 이날 관계부처 합동 가이드라인을 배포하고 즉시 시행에 들어가며, 각 기관은 이를 바탕으로 자체 세부 지침을 마련해 운영할 방침이다.