컨텐츠 바로가기

12.24 (화)

이슈 오늘의 사건·사고

5년전 업비트서 코인 580억 탈취, 北 해킹조직 짓이었다

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
동아일보

5년 전 우리나라 최대 가상자산 거래소 업비트를 해킹해 당시 580억 원 상당(현재 약 1조4700억 원)의 가상자산을 탈취한 범인이 북한 정찰총국 산하 해킹 조직으로 확인됐다. 국내 수사기관이 북한의 가상자산 해킹 사실을 공식적으로 확인한 건 처음이다.

21일 경찰청 국가수사본부는 2019년 11월 업비트에서 보관 중이던 이더리움 34만2000개가 탈취된 사건과 관련해, 북한 해킹 조직 ‘라자루스’와 ‘안다니엘’이 범행을 저지른 것으로 확인됐다고 밝혔다. 피해 규모는 당시 시세로는 580억 원, 현재 기준으로는 1조4700억 원에 달한다. 그 동안 라자루스는 정부기관 및 금융기관을, 안다리엘은 군 및 국방산업을 주로 공격해 왔다.

경찰은 유사 범죄를 우려해 구체적인 공격 방법은 공개하지 않았다. 다만 북한의 인터넷 프로토콜(IP) 주소와 가상자산의 흐름, 북한 단어 사용 기록, 미국 연방수사국(FBI)과의 공조를 통해 확보한 자료 등을 통해 북한 소행으로 결론지었다고 설명했다. 당시 해킹에 사용된 컴퓨터에서 북한 말인 ‘헐한 일’이라는 용어가 사용된 흔적이 발견되기도 했다. ‘중요하지 않은 일’이라는 뜻의 북한말이다.

동아일보

북한이 탈취한 이더리움을 세탁하기 위해 사용한 가상자산 거래소 사이트 화면 캡쳐. 경찰청 제공.

<이미지를 클릭하시면 크게 보실 수 있습니다>


경찰은 해킹조직이 단 한 번의 공격으로 이더리움 34만 개를 빼돌렸다고 밝혔다. 이 가운데 57%는 자신들이 자체적으로 만든 가상자산 교환 사이트 3곳에 보낸 뒤 시세보다 2.5% 싼 가격에 비트코인으로 바꿔치기했다. 이후 비트코인을 현금화하는 방식으로 자금을 세탁한 것으로 추정된다. 나머지 이더리움 43%는 중국, 미국, 홍콩, 스위스 등 13개국 51개 거래소로 분산 전송한 뒤 세탁했다. 북한이 만든 가상자산 교환 사이트는 현재 폐쇄됐고, 세탁된 자금 역시 2년 전 추적이 끊겼다고 한다.

경찰은 2020년 10월 비트코인으로 바꿔치기 된 일부 가상 자산이 스위스의 한 가상자산 거래소에 보관됐다는 사실을 확인했다. 이후 4년에 걸쳐 스위스 정부에 해당 비트코인이 국내에서 탈취한 자산이라는 점을 증명한 뒤 피해 자산 중 일부 4.8비트코인(한화 약 6억 원)을 환수해 업비트 측에 돌려줬다. 중국과 미국, 홍콩 등 다른 국가 소재 가상자산 거래소들은 협조 요청에 답하지 않거나, 협조할 의무가 없다며 환수를 거절했다.

경찰은 수사를 통해 확인한 북한의 해킹수법을 가상자산 거래소, 국가정보원, 금융감독원, 금융보안원 등에게 공유했다. 경찰 관계자는 “과거와 달리 현재는 가상자산 거래소들이 높은 보안 수준을 유지하고 있다”며 “막연한 불안감을 가질 필요는 없다”고 말했다.

이상환 기자 payback@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.