컨텐츠 바로가기

12.24 (화)

이슈 오늘의 사건·사고

5년 전 580억대 이더리움 탈취, 北 소행이었다… 북한말 '헐한 일'이 단서

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
北 소행 국내 수사기관 확인은 최초
공격자 컴퓨터에 남은 북한 말 포착
스위스로부터 비트코인 6억 원 환수
한국일보

게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>


5년 전 국내 한 가상자산 거래소가 580억 원 상당의 가상자산을 도난당한 사건이 북한 소행으로 확인됐다. 북한이 가상자산 거래소 공격으로 탈취한 암호화폐 등을 핵이나 미사일 개발에 사용한다는 유엔 보고서나 외국 정부 발표는 있었지만 국내 수사기관에서 이를 밝힌 건 처음이다.

경찰청 국가수사본부는 2019년 11월 국내 가상자산 거래소 '업비트'가 보관 중이던 이더리움 34만2,000개를 탈취한 사건을 북한의 소행으로 판단했다고 21일 밝혔다. 피해 당시 시세는 580억 원 상당으로 현재 가치로는 1조4,700억 원에 달한다.
연관기사
• ‘보안 1위’ 암호화폐 거래소도 뚫렸다… 업비트, 이더리움 580억원어치 유출
(www.hankookilbo.com/News/Read/201911272121018651)

경찰은 북한 정찰총국 산하 해커 조직인 라자루스, 안다리엘이 함께 공격을 감행했다고 보고 있다. 경찰은 모방이나 재범 우려가 있다며 구체적인 해킹 방식은 공개하지 않았다. 다만, 공격자들이 해킹 과정에서 '헐한 일'이라는 단어를 사용한 게 단서가 됐다. 이는 '중요치 않은 일'이라는 뜻의 북한 말이다. 이후 수사를 통해 2022년 11월 북한의 인터넷 프로토콜(IP) 주소를 확보했고, 가상자산의 흐름과 미국 연방수사국(FBI)과의 공조로 취득한 자료를 기반으로 북한의 소행이라고 결론지었다.
한국일보

사건 개요도. 경찰청 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>


공격자들은 단 한 번의 공격으로 이더리움 34만 개를 익명 계좌로 빼돌린 것으로 조사됐다. 이 가운데 57%는 북한이 자체 개설한 가상자산 교환 사이트 3개를 통해 세탁한 것으로 추정된다. 경찰 관계자는 "북한이 임시 매매사이트를 만들었고 이더리움을 비트코인으로 바꾸기 위해 시세보다 2.5% 할인한 가격으로 해외 다른 나라에 광고했다"고 설명했다. 사이트는 현재 폐쇄됐으며, 이곳을 통해 세탁된 자금 역시 약 2년 전부터 추적이 끊겼다.
한국일보

북한이 제작한 것으로 추정되는 자금세탁 사이트. 경찰청 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>


나머지 43%는 13개국 51개 거래소로 분산 전송 후 세탁된 것으로 보인다. 이 중 스위스에 있는 4.8비트코인(현 시세 약 6억 원)은 스위스 사법 당국과의 공조를 통해 올해 10월 업비트에 환수됐다. 그러나 중국과 미국, 홍콩 등 다른 국가들은 협조 요청에 답하지 않거나 인과관계가 입증이 안 된다며 환수를 거절했다.

수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유됐다. 경찰 관계자는 "지금은 업체들이 높은 수준의 보안을 유지하고 있고, 가상자산보호법이 올 7월부터 시행되면서 보호장치가 마련됐다"며 "막연한 불안감을 가질 필요는 없다"고 전했다.

서현정 기자 hyunjung@hankookilbo.com


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.