<이미지를 클릭하시면 크게 보실 수 있습니다> |
경찰이 5년 전 국내 가상자산 거래소 업비트가 보관하던 이더리움을 대규모로 도난당한 사건에 대해 북한의 소행이라고 결론지었다. 가상자산 거래소를 대상으로 한 사이버 공격이 북한 소행이라는 사실을 규명한 것은 이번이 처음이다.
21일 경찰청 국가수사본부는 IP 주소(인터넷 주소), 가상자산의 흐름, 북한 어휘 흔적 등 증거와 함께 미국 연방수사국(FBI)과 공조해 확보한 자료를 토대로 이같이 판단했다고 밝혔다.
앞서 2019년 11월 27일 업비트에서 이더리움 34만2000개가 비정상적으로 옮겨지는 사건이 발생했다. 탈취당한 가상자산은 당시 시세로 약 580억원, 현 시세로 1조4700억원에 이른다.
이 사건에는 북한 정찰총국 산하 해커 집단인 '라자루스'와 '안다리엘'이 가담한 것으로 파악됐다. 이전까지 라자루스는 정부기관이나 금융기관을 주로 해킹하고, 안다리엘은 국방 분야를 노렸지만 가상자산 탈취에는 역할을 구분하지 않았다. 수사 결과 경찰은 공격자가 사용한 기기에 북한 특유 표현인 '헐한 일'이 사용된 점을 확인했다. 헐한 일은 '중요하지 않은 일'을 뜻하는 북한말이다.
북한은 사법당국이 추적할 수 없도록 가상자산을 세탁하는 데 필요한 '믹싱' 사이트 3개를 직접 만들고, 탈취한 이더리움의 57%를 이 사이트를 통해 비트코인으로 바꿨다. 북한은 '이 사이트는 싸게 거래해준다'는 해외 광고를 하기도 했다. 나머지 이더리움은 중국·미국 등 해외 51개 거래소로 분산 전송해 세탁했다. 탈취 자산이라는 점을 입증하기 어렵게 만든 것이다.
이후 가상자산은 현금으로 바뀌어 북한에 흘러 들어간 것으로 추정되지만, 경찰은 실제로 북한에 흘러 들어갔는지까지는 확인하지 못했다.
다만 경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스 가상자산 거래소에 보관된 사실을 확인했다. 이에 경찰은 스위스 검찰에 해당 가상자산이 한국 거래소에서 탈취된 자산이라는 점을 입증한 뒤 지난달 4.8비트코인(현재 약 6억원)을 환수해 업비트 측에 돌려줬다. 이를 환수받는 데만 4년에 가까운 시간이 걸렸다. 경찰은 나머지 가상자산에 대해선 환수가 어려울 것으로 내다보고 있다.
업비트 이더리움 탈취 사건이 발생했던 당시 국내 보안업계는 북한 해커들의 소행일 가능성이 높다고 의심했다. 북한 해커들 소행이라는 사실을 경찰이 특정한 시점은 사건이 발생한 지 3년 만인 2022년 11월이었던 것으로 알려졌다. 경찰은 스위스 거래소에서 4.8비트코인을 환수받은 것을 계기로 업비트 해킹 사건이 발생한 지 5년 만에야 공식 수사 결과를 발표했다.
경찰이 북한 소행이라는 것을 특정하는 데 3년, 수사에 총 5년이 걸린 것은 범행 수법이 치밀하고 해외 거래소·기관의 협조를 이끌어내는 데 어려움이 있었기 때문이다.
경찰은 수사 과정에서 확인한 북한의 가상자산 거래소 공격 수법을 국가정보원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군, 가상자산 거래소 등에 공유했다. 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용할 수 있도록 정보를 제공한 것이다.
경찰 관계자는 "사이버 공격에 대해선 범행 방법과 주체를 규명하는 것은 물론 피해 예방과 회복에도 최선을 다하겠다"고 밝혔다.
[문광민 기자]
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.