국세청 등 공공기관의 잇단 가상자산 유출 사고를 계기로 정부가 공공부문 보유 가상자산의 전면적 관리 체계를 도입한다. 780억원 규모 자산의 취득부터 보관, 비상대응까지 체계적 규정을 마련해 보안 허점을 메우겠다는 것이다.

정부는 10일 서울청사에서 구윤철 부총리 겸 재정경제부 장관 주재로 열린 비상경제본부 회의 겸 경제관계장관회의에서 이러한 내용의 '공공분야 가상자산 보유·관리체계 개선방안'을 의결했다.

지난 6일 기준 중앙정부는 압수·압류 과정에서 국세청 521억원, 검찰청 234억원, 경찰청 22억원, 관세청 3억원 등 총 780억원 규모 가상자산을 보유하고 있다. 공공기관의 기부 수령분 3억 6000만원을 포함하면 관리 대상은 더욱 확대된다. 이 자산들은 몰수나 매각 전 일시 보관 상태로 규모 변동성이 크다.

가상자산 보급 가속화로 정부의 강제징수액도 크게 증가했다. 작년 639억원에 달한 징수액은 2022년 6억원 대비 100배 이상 늘어난 수준이다. 국민 보유 증가세와 맞물려 공공기관의 리스크 관리 부담도 급격히 커지고 있다.

하지만 관리 체계 부실로 유출 사고가 빈발했다. 올해 2월 국세청은 복구구문(니모닉 코드) 유출로 400만 PRTG(수백만 원 상당)을 도난당했다. 같은 달 강남경찰서는 USB 보관 중 비트코인 22개(21억원)를, 작년 8월 광주지검은 피싱 사이트 접속으로 320비트코인(300억원)을 분실했다. 기관의 보안 인식 부족을 여실히 보여준 사례였던 것이다

이들 사고는 단순 보관 실수가 아니라 가상자산의 '비탈중앙화' 특성을 간과한 결과로 분석된다. 전문가들은 "실물 증거물 관리 지침에 묶인 공공기관이 디지털 자산 특성을 전혀 반영하지 못했다"라고 지적했다.

이에 정부는 가상자산 생애주기 관리에 초점을 맞춰 개선안을 마련했다. 현장 압수 즉시 '콜드월렛'으로 이관해 인터넷 연결을 차단한다. '콜드월렛'이란 물리적 형태와 무관하게, 가상자산의 보관 및 전자서명 절차가 모두 인터넷과 분리된 환경에서 이루어지는 경우를 말한다. 또한 기관 지갑을 만들 때 발급되는 개인키·복구구문을 2인 이상 분할 보관하도록 강제하기로 했다. 거래소 잔고는 즉각 동결하고 기부분은 현금화 우선 원칙을 적용한다.

보관 시설은 금고와 CCTV로 물리적 보안을 강화하며, 사고 발생 시 24시간 내 신규 지갑 생성과 자산 이전을 명문화했다. 국정원·경찰·KISA(한국인터넷진흥원) 공동 대응반 가동과 함께 재경부와 행정안전부에 보고 의무가 부과된다. 규정 위반자는 형사고발과 징계 대상이 된다. 각 기관은 전담조직을 지정하고 연 1회 이상 모의훈련을 실시해야 한다.

이번 가이드라인은 10일부터 부처·지자체·공공기관에 배포돼 즉시 시행된다. 재경부 관계자는 "가상자산이 공공 자산으로 상시화된 상황에서 체계적 관리가 필수적"이라며 "추후 정기 점검과 법제화를 통해 실효성을 높이겠다"라고 밝혔다.

금융 전문가들은 "콜드월렛과 다중서명은 기본이지만, AI 기반 실시간 이상탐지와 전문 수사 인력 양성이 병행돼야 재발을 막을 수 있다"라고 말했다.