[임경호 기자]
업비트를 운영하는 두나무에서 대규모 자산 유출 사고가 발생한 지 약 2주가 지났다. 업비트는 사고 발생 이후 사태 수습에 나섰지만 막대한 자금이 다수의 지갑을 거쳐 이동한 사실이 알려지며 국내 가상자산 투자 시장 전반에 불안감이 확산됐다. 업비트 측은 모니터링을 통해 출금된 가상자산의 온체인 이동 경로와 관련 주소를 확보했으며, 해당 주소에서 피해자산이 입금될 시 지갑을 동결하도록 요청한 상태다.
시장에서는 이번 해킹 사태를 두고 다양한 해석과 추측이 이어지고 있다. 이에 최근 서울 서초구에 위치한 가상자산 추적·분석 전문 기업 클로인트(Kloint)의 사무실을 찾아 온체인 분석으로 확인 가능한 정보의 범위와 그 한계를 중심으로 자금 이동 양상과 가상자산 시장 전반에 대한 위협 흐름을 함께 짚었다.
 |
박정섭 클로인트 이사가 지난 11일 서울 서초구 클로인트 사무실에서 '테크M'과 인터뷰하고 있다. /사진=임경호 기자 |
업비트를 운영하는 두나무에서 대규모 자산 유출 사고가 발생한 지 약 2주가 지났다. 업비트는 사고 발생 이후 사태 수습에 나섰지만 막대한 자금이 다수의 지갑을 거쳐 이동한 사실이 알려지며 국내 가상자산 투자 시장 전반에 불안감이 확산됐다. 업비트 측은 모니터링을 통해 출금된 가상자산의 온체인 이동 경로와 관련 주소를 확보했으며, 해당 주소에서 피해자산이 입금될 시 지갑을 동결하도록 요청한 상태다.
시장에서는 이번 해킹 사태를 두고 다양한 해석과 추측이 이어지고 있다. 이에 최근 서울 서초구에 위치한 가상자산 추적·분석 전문 기업 클로인트(Kloint)의 사무실을 찾아 온체인 분석으로 확인 가능한 정보의 범위와 그 한계를 중심으로 자금 이동 양상과 가상자산 시장 전반에 대한 위협 흐름을 함께 짚었다.
클로인트는 트랜잭션 추적과 주소 분석 기법 등을 활용해 가상자산 기반 불법 행위를 분석해온 기업이다. 바이비트와 위믹스 건에 이어 이번 업비트 사태 역시 발생 직후부터 추적을 진행 중이다.
조직적 자금 분산 패턴...장기 세탁 가능성도
박정섭 클로인트 이사는 "(지난 10일 기준) 업비트가 밝힌 445억원 규모의 유출 자산 중 10억원 정도가 출금됐고 나머지는 홀딩된 상황"이라고 말했다. 현금화를 시도한 일부를 제외하면 탈취 자산의 상당 부분은 다수의 지갑으로 분산해 보관 중인 것으로 추정된다.
이를 두고 보안업계에서는 해커가 유출 자산의 세탁 시점을 저울질하고 있다는 분석도 나온다. 대규모 해킹 사건의 경우 자금을 즉시 현금화하기보다 수개월에서 길게는 수년에 걸쳐 단계적으로 세탁하는 경우가 일반적이라는 설명이다.
 |
지난달 27일 발생한 업비트의 비정상 거래 출금 자산 이동 흐름 /사진=클로인트 제공 |
온체인 분석에서는 조직적 해킹을 의심할 만한 정황이 포착됐다. 해커는 탈취한 자산을 180개 이상 지갑 주소로 분산시켰고 특정 지갑에서 새로 생성한 400개 이상의 신규 주소로 다시 자금을 쪼개 전송했다. 송금 단위 역시 12~17개 수준의 일정한 묶음 형태가 반복됐다.
박 이사는 "사람이 수작업으로 하기 어려운 규모"라며 "프로그램을 활용해 자동화된 방식으로 자금을 이동시킨 것으로 보인다"고 설명했다. 이 같은 대규모 신규 주소 생성과 체계적인 분산 전송은 개인보다는 조직 단위 범죄 가능성을 높이는 요소로 꼽힌다.
북한 배후설은 '의혹' 단계...시장 전반 불안 키워
이번 사건을 두고 일각에서는 라자루스나 안다리엘과 같은 조직을 염두에 둔 북한 배후설이 제기됐다. 하지만 온체인 분석만으로 공격 주체를 특정하기에는 한계가 있다는 게 클로인트의 판단이다.
박 이사는 "온체인 기반 분석은 자금 흐름과 송금 패턴을 파악하는 데 유용하지만 그것만으로 배후를 단정할 수는 없다"고 말했다. 믹서나 멀티체인 기반 자금세탁 방식 역시 특정 조직만의 전유물이 아니라는 점에서 결정적 근거로 보기 어렵다는 설명이다.
 |
박정섭 클로인트 이사가 지난 11일 서울 서초구 클로인트 사무실에서 '테크M'과 인터뷰하고 있다. /사진=임경호 기자 |
그는 "오픈소스 정보(OSINT)와 자금세탁 경로 추적을 결합해 보다 종합적인 검증이 필요하다"며 "현재로서는 북한 배후설은 의혹 단계에 머물러 있다"고 분석했다.
업비트의 사후 대응에 대해서는 비교적 긍정적인 평가를 내놨다. 자체 온체인 추적 시스템을 활용해 신속히 유출 자산을 동결했고 국내외 거래소 및 수사기관과의 공조도 빠르게 이뤄졌다는 것이다.
박 이사는 "기업 입장에서 국가기관 신고를 주저하는 경우도 적지 않은데 사건 직후 신고하고 조사에 협력하고 있는 점은 긍정적"이라고 말했다.
다만 이번 사건으로 국내 최대 거래소마저 해킹 피해를 입을 수 있다는 인식이 확산되면서 시장 전반의 불안감은 커졌다고 진단했다. 두나무와 네이버파이낸셜 합병 시기와 맞물려 제기된 '의도된 해킹'이란 의혹에 대해서는 "온체인 패턴을 고려하면 설득력이 떨어진다"고 선을 그었다.
"가상자산 보안, 다르지 않아...제도권 편입이 변곡점"
박 이사는 올해 가상자산 범죄 양상이 기존과 달라진 점을 언급했다. 글로벌 시장에서는 유명인이나 인플루언서를 사칭한 공격이 늘었고, 메신저 계정을 탈취해 지인에게 접근한 뒤 투자나 화상 미팅을 제안하는 방식이 확산되고 있다. 이 과정에서 악성코드를 심거나 투자금을 가상자산으로 받아내는 사례도 적지 않다.
국내에서도 거래소 해킹보다는 스캠이나 보이스피싱 피해가 상대적으로 많은 편이다. 거래소는 보안 체계가 강화돼 공격 난이도가 높은 반면 개인 투자자를 노린 범죄는 접근이 쉽기 때문이다. 특히 시장 상황에 따라 피해 신고 양상에도 차이가 나타난다. 상승장에서는 피해에 둔감해지는 반면 가격 하락기에는 신고가 늘어나는 경향이 있다는 설명이다.
 |
지난 2월 약 15억 달러 규모의 이더리움이 탈취된 바이비트 해킹 사건에 대한 자금 세탁 흐름도 /사진=클로인트 제공 |
대형 거래소 해킹이 반드시 거래소 자체의 취약점을 의미하지는 않는다는 점도 짚었다. 지난 2월 발생한 바이비트 해킹 사건도 거래소가 아닌 협력 서비스 업체의 취약점에서 시작됐다는 분석이다. 이는 스마트컨트랙트 취약점이나 내부 접근 통제 문제, 송금 로직 변조 등 전통적인 IT 보안 이슈와 닿아 있다.
가상자산이 자금세탁에 유리해 해커들의 주요 표적이 되고 있다는 시각에 대해서는 과도한 해석이라고 일축했다. 그는 "가상자산은 모든 거래 기록이 블록체인 원장에 남기 때문에 추적이 불가능한 것은 아니다"며 "다만 경로가 복잡해질수록 추적 난이도가 높아지는 만큼 국제 공조와 제도적 장치가 중요하다"고 말했다.
향후 가상자산 보안 시장의 변화에 대해서는 '제도권 편입'이 핵심 변수로 꼽힌다. 스테이블코인 도입과 규제 정비가 병행될 경우 시장 신뢰도와 함께 보안 체계도 한 단계 끌어올릴 수 있다는 전망이다.
박 이사는 "클로인트는 가상자산 위협 분석 특화 조직을 운영하며 투자나 해킹 피해 대응부터 자금세탁방지(AML), 트래블룰, 보안 컨설팅까지 폭넓은 영역을 지원하고 있다"며 "이를 통해 사건 대응과 자금 추적 과정에 실질적인 도움을 줄 수 있을 것"이라고 말했다.
임경호 기자 lim@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.