'580억' 이더리움 털어간 놈...잡고보니 북한 소행

6일 서울 강남구 업비트 고객센터에 설치된 태블릿에 비트코인 가격정보가 표시돼 있다./사진제공=뉴시스

2019년 약 580억원의 가상자산 이더리움을 빼돌렸던 사건이 '라자루스', '안다리엘' 등 북한 전문 해킹 조직에 의해 벌어진 것으로 경찰 조사 드러났다. 경찰은 이들이 세탁한 가상자산을 추적해 스위스 거래소에 있던 비트코인 4.8개(약 6억원)를 피해회사에 돌려줬다.

경찰청 국가수사본부는 2019년 11월 가상자산 거래소 업비트의 이더리움 34만2000개를 빼돌린 주범을 북한 해킹 전문 조직으로 판단했다고 21일 밝혔다.

경찰은 2021년부터 2023년까지 법원의 전산망을 해킹해 1014GB의 개인정보를 빼간 라자루스와 같은 북한 정찰총국 산하 조직 안다리엘 등 두 곳이 연합해 범행을 저질렀다고 봤다.

경찰에 따르면 북한이 가상자산 거래소를 공격해 탈취한 가상자산을 핵·미사일 개발에 사용한다는 UN의 보고서·외국 정부의 발표 등은 여러 차례 있었으나 실제 사이버 공격이 북한의 소행인 것을 밝힌 것은 국내에선 이번이 처음이다.

경찰은 수사를 통해 확보한 북한의 IP 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등의 증거와 미국 연방수사국(FBI) 공조로 취득한 자료를 종합해 이같은 결론을 내렸다.

북한 해킹 조직은 '헐한 일'이라는 표현을 사이버 공격 도중 온라인 상으로 자주 나눴다. 헐한 일은 우리 말로 중요하지 않은 일을 뜻한다. 경찰 관계자는 "사이버 공격의 흔적을 찾다가 공격자가 사용했던 기기이름 등을 발견했다"며 "분석 과정에서 북한 어휘를 사용했던 내용을 확인할 수 있었다"고 말했다.

북한 해킹 조직 라자루스와 안다리엘이 2019년 11월 가상자산 거래소 업비트를 공격해 탈취한 이더리움 등을 비트코인 등으로 교환해 범죄 수익을 세탁했다. 이들이 활용한 자금세탁용 가상자산 교환사이트 모습./사진제공=경찰청

이들은 탈취한 가상자산의 57%를 자신들이 만든 가상자산 교환사이트 3곳을 통해 시세보다 싼 가격에 비트코인으로 세탁했다. 나머지는 중국·미국 등 13개국에 있는 51개 거래소로 분산 전송했다.

북한이 빼돌린 가상자산을 추적한 경찰은 스위스 검찰에 해당 자산이 한국 거래소가 탈취당한 자산의 일부라는 점을 증명해 피해 발생 4년만인 2024년 10월에 비트코인 4.8개를 환수해 업비트에 돌려줬다.

경찰은 수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법은 △국가정보원 국가사이버위기관리단 △금융감독원 △금융보안원 △한국인터넷진흥원(KISA) △군·가상자산 거래소 관계자들에게 공유했다.

경찰은 국내 거래소들의 보안 강화와 각종 법안이 신설돼 앞으로 가상자산이 유출될 우려는 적다고 설명했다. 경찰청 관계자는 "2019년엔 거래소 초반이라 보안이 약할 수 있지만 현재는 정보보호체계 인증을 모두 받은 상황"이라며 "가상자산보호법 시행으로 업체 거래소들은 이용자들 피해 막으려고 일정 이상 예치금 보관하고 있어야 하는 등 보호조치도 시행 중"이라고 말했다.

이어 "AI(인공지능)를 활용한 보안 솔루션도 거래소에 많이 보급된 상태"라며 "향후 유사한 범행을 탐지하거나 피해를 예방하는 데 힘쓸 것"이라고 덧붙였다.

이강준 기자 Gjlee1013@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지