이런: 한국 경찰이 지갑 비밀번호를 유출한 뒤 압수한 crypto $5M를 잃다

Source: Ars Technica

Background

대한민국 국세청(NTS)이 보도자료에서 압수한 암호화폐 지갑의 비밀번호를 실수로 누출해 약 5백만 달러 상당의 암호화폐가 사라졌다. 이미지에 복구용 니모닉 구문이 포함된 채로 편집 없이 온라인에 게시되면서 이 누출이 발생했다.

Potential Thief

도둑은 보도자료를 본 누구든 될 수 있다. Gizmodo는 NTS에 명확한 용의자가 없으며 자금을 회수하기 어려울 것이라고 지적했다. 도둑이 도난된 토큰을 규제된 거래소를 통해 이동하려 한다면, The Block은 현재 시장 상황에서 이렇게 큰 규모의 암호화폐를 현금으로 전환하는 것이 어려울 것이라고 보도했다. 따라서 도둑은 주요 거래소를 피하고 은밀히 행동할 가능성이 있다.

Police Mistakes

• Failure to redact: 복구 구문이 포함된 이미지를 게시한 것은 지갑을 활짝 열어 놓은 것과 같다.
• Best practices ignored: Ledger 지갑의 원 소유자는 구문을 손글씨 메모에만 기록하고 온라인에 저장하지 않았다.
• Lack of review: 경찰은 게시하기 전에 이미지에 민감한 정보가 있는지 검토했어야 했다.

암호화폐 보안 전문가인 조는 이러한 부주의가 국가 재정을 수십억 원 손실로 이어질 수 있다고 경고했다.

Previous Incidents

• January, Gwangju: 관계자들이 압수된 대량의 비트코인 손실을 조사했다. The Block은 이것이 코인베이스를 표적으로 한 피싱 공격과 연관된 것으로 보고했다.
• Recent case, Seoul’s Gangnam district: 경찰은 22개의 압수된 비트코인이 사라진 후 내부 조사를 시작했다. The Block은 물리적 장치가 경찰 통제를 떠나지 않은 상태에서 콜드 월렛이 비워졌다고 밝혀, 민감한 정보 취급이 부실했음을 시사한다.

Response

최근 보도자료에서 국세청 담당자는 향후 유출 방지를 위해 내부 통제를 강화하고 추가 직무 교육을 제공하겠다고 밝혔다.