컨텐츠 바로가기

11.24 (일)

이슈 경찰과 행정안전부

5년 전 업비트에서 사라진 580억… 북한 소행이었다

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

경찰, FBI와 공조 北 IP주소 확인

해킹조직 라자루스·안다리엘 판단

탈취한 자산 57% 비트코인 교환

나머지 해외 51개 거래소 분산 세탁

현재 시세 약 1조4700억원 추정

피해 금액 중 6억원 환수해 전달

세계일보

<이미지를 클릭하시면 크게 보실 수 있습니다>


2019년 국내 거래소에서 발생한 580억원 규모 가상자산 탈취 사건이 북한 소행인 것으로 드러났다. 북한이 배후에 있는 것으로 추정된 가상자산 탈취 사례는 이전에도 있었지만, 국내 수사기관이 이를 공식적으로 확인한 것은 이번이 처음이다.

경찰청 국가수사본부는 2019년 11월 국내 가상자산 거래소 업비트가 보관하고 있었던 ‘이더리움’ 34만2000개를 탈취한 이들이 북한 정찰총국 산하 해킹조직인 ‘라자루스’와 ‘안다리엘’인 것으로 판단했다고 21일 밝혔다.

이더리움은 비트코인, 리플 등과 함께 거래량이 가장 많은 3대 가상자산 중 하나로 꼽힌다. 이더리움 34만2000개 시세는 피해 당시 약 580억원, 현재 기준으로는 약 1조4700억원이다.

경찰에 따르면 범행 당일인 2019년 11월27일 오후 1시쯤 업비트가 보관 중인 이더리움이 익명의 지갑으로 전송됐다. 탈취당한 이더리움은 업비트가 자체적으로 보유하고 있던 것뿐만 아니라 고객이 보유하고 있던 것도 포함된 것으로 알려졌다. 업비트를 운영하는 두나무는 당시 회사 자산으로 이를 충당했다.

가상자산 거래소를 대상으로 한 사이버 공격이 북한의 소행임을 확인한 것은 국내에선 처음이다. 경찰은 수사를 통해 확보한 북한 IP 주소와 가상자산의 흐름, 미국 연방수사국(FBI)과의 공조로 취득한 자료를 종합해 당시 가상자산 탈취가 북한에 의해 이뤄진 것으로 결론을 내렸다.

범행 조직이 북한말을 사용한다는 사실이 결정적 단서가 됐다. 경찰은 해킹 공격에 이용된 컴퓨터에서 한 문서 파일을 발견했는데, 문서 내 ‘헐한 일’이라는 표현이 눈에 띄었다. ‘헐하다’는 ‘어렵지 않다’는 의미의 북한 어휘다.

세계일보

사진=게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>


◆PC에 북한말 ‘헐한 일’ 표현… 결정적 단서로

경찰 수사 과정에서, 북한은 탈취한 이더리움을 사전에 치밀하게 설계한 방식으로 세탁한 것으로 파악됐다. 경찰에 따르면 북한은 이더리움 중 57%를 가상자산 교환 사이트 세 군데를 통해서 시세보다 2.5% 낮은 가격으로 비트코인으로 바꿨다. 이 사이트들 역시 북한 해킹조직이 만든 곳으로 보인다는 게 경찰 측 설명이다. 나머지 43%는 미국과 중국, 홍콩 등 13개 국가의 51개 거래소로 분산돼 이동됐다. 이후 행방은 묘연하지만 이 중 상당수는 북한으로 흘러들어갔을 것으로 경찰은 추정하고 있다.

경찰은 탈취분 중 6억여원 규모의 가상자산을 환수했다. 추적 과정에서 탈취된 가상자산이 비트코인으로 바뀌어 스위스의 한 거래소에 보관된 사실을 확인했다. 국내 거래소가 탈취당한 자산이란 점을 스위스 당국에 증명하며 공조를 4년 가까이 진행한 끝에 4.8비트코인을 돌려받을 수 있었다. 환수한 가상자산은 지난달 업비트 측에 돌려줬다. 해외 다른 거래소의 경우 입증의 어려움으로 인해 환수하기가 쉽지 않은 상황이라고 한다.

국수본 관계자는 “수사 과정에서 확인한 공격 수법을 국가정보원, 금융감독원, 군 및 가상자산 거래소 관계자들에게 공유해 유사한 범행을 탐지하거나 피해를 예방하는 데 활용하도록 했다”며 “사이버 공격 범행 방법과 주체 규명은 물론 피해 예방과 회복에도 최선을 다해 나갈 방침”이라고 밝혔다.

북한이 사이버 공격에 집중하는 이유로는 이른바 ‘가성비’(가격 대비 성능)가 꼽힌다. 대북 경제제재를 피해 상대적으로 적은 비용으로 ‘외화벌이’에 나설 수 있다는 것이다. 북한은 2016년 1월 제4차 핵실험 이후 제재 강도가 높아지자 금융기관이나 가상자산 거래소에 사이버 공격을 집중하는 양상을 보이고 있다.

세계일보

사진=연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>


국내 거래소 중에도 업비트 외에 빗썸이 2017년과 2020년 각각 가상자산 탈취 피해를 입은 바 있는데, 2번 모두 북한이 배후에 있는 것으로 추측된다.

2022년에는 베트남의 블록체인 게임업체가 해킹 공격으로 6억2000만달러(약 8600억원) 상당의 가상자산을 잃어버린 사건도 있었다. 미국 정부는 범행 주체로 북한을 지목했다. 일본 가상자산 거래소 코인체크 또한 2018년 북한발로 추정되는 해킹으로 5억3000만달러어치의 가상자산을 빼앗겼다.

유엔 안전보장이사회 산하 대북제재위원회가 지난해 10월 공개한 보고서에 따르면 2017∼2022년 북한이 탈취한 가상자산은 23억달러에 달한다.

오정근 한국금융ICT융합학회장은 “가상자산은 국제적 이동이 쉽게 이뤄지는 데다, 블록체인 기반이라는 특성 덕분에 탈중앙화와 이로 인한 익명성이 보장된다”고 설명했다.

북한 해킹조직의 활동 반경은 금융 분야를 넘어 전방위로 확대되는 상황이다. 경찰은 북한 해킹조직이 2022년 10월부터 지난해 7월까지 국내 방위산업체 10여개를 대상으로 해킹 공격을 진행했다는 수사 결과를 올해 4월 발표한 바 있다. 그다음 달인 5월에는 북한이 법원 전산망에 침투해 1000GB 이상의 법원 자료를 빼돌린 것으로 드러나기도 했다.

국정원에 따르면 지난해 공공분야를 대상으로 일평균 162만여건의 해킹 공격 시도가 탐지됐는데, 이는 전년 대비 36% 증가한 수치다. 전체 162만여건 중 80%에 달하는 130만건 가까이가 북한의 소행인 것으로 국정원은 추산했다.

백준무 기자 jm100@segye.com

ⓒ 세상을 보는 눈, 세계일보
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.