국세청이 가상자산을 증거물로 제출하는 과정에서 ‘니모닉(mnemonic)’이 외부에 노출됐다는 보도가 나오며, 관련 용어에 대한 관심이 커지고 있다. 국세청은 지난달 26일에 체납자의 가상자산이 든 '콜드월렛'을 압류했다는 보도자료를 배포하며 니모닉 코드를 실수로 노출했다.
니모닉은 단순한 암기법을 넘어, 가상자산 지갑을 복구·통제할 수 있는 핵심 인증 정보를 의미한다.
블록체인 기반 지갑에서 니모닉은 보통 12개 또는 24개의 영어 단어 조합으로 구성된 ‘복구 구문(Seed Phrase)’을 뜻한다.
이 단어들은 국제 표준인 Bitcoin Improvement Proposals 중 BIP-39규격에 따라 생성된다. 이용자가 지갑을 새로 만들 때 무작위로 부여되며, 분실 시 자산을 복구할 수 있는 최상위 비밀키 역할을 한다.
기술적으로는 다음과 같은 구조를 가진다.
1. 무작위 난수(Entropy) 생성
2. 이를 단어 목록(2048개)에서 대응되는 단어로 변환
3. 12·24개 단어 형태로 사용자에게 제공
4. 해당 단어 조합이 다시 개인키(Private Key)와 공개키(Public Key)를 파생
즉, 니모닉은 개인키를 생성하는 근원값이다. 해당 문구가 유출되면 지갑 내 모든 가상자산에 대한 접근·이체 권한이 사실상 제3자에게 넘어간다.
가상자산은 중앙 관리자 없이 작동한다. 은행처럼 비밀번호를 재설정하거나 계정을 동결해주는 기관이 없다. 니모닉이 노출될 경우 제3자가 동일 지갑을 즉시 복구 가능하고, 블록체인 특성상 거래 취소 불가하며, 법적 소유와 기술적 통제가 분리되는 문제 발생할 수 있다.
따라서 수사기관이나 사법 절차에서 증거로 제출될 때도 보안 처리 방식이 매우 민감한 사안이 된다.
니모닉은 소프트웨어 지갑뿐 아니라 하드웨어 지갑에서도 동일하게 사용된다. 대표적으로 Ledger, Trezor 등이 제공하는 기기 역시 최초 설정 시 24단어 복구 문구를 발급한다.
사진처럼 종이에 적어 오프라인으로 보관하는 방식이 일반적이다. 온라인 저장, 사진 촬영, 이메일 보관 등은 해킹 위험을 높이는 행위로 간주된다.
니모닉은 단순 참고자료가 아니라 재산권 통제 수단이다.
따라서 압수·수색 과정에서의 관리 책임, 증거 제출 시 비식별화 조치, 국가기관의 보안 의무 등이 쟁점이 된다.
만약 니모닉이 실제로 외부에 노출됐다면, 이는 단순 정보 공개 문제가 아니라 가상자산의 실질적 점유 이전 가능성을 동반하는 중대한 사안이 될 수 있다.
