사회 사건·사고

5년 전 업비트서 이더리움 580억 탈취, 알고보니 북한 소행

강명연 기자

파이낸셜뉴스

입력 2024.11.21 12:00

수정 2024.11.21 17:59

경찰, 北해킹그룹 소행 첫 확인
북한 어휘 '헐한 일' 흔적 발견
현 시세로 1조4000억원어치
6억은 비트코인 스위스서 환수
5년 전 업비트서 이더리움 580억 탈취, 알고보니 북한 소행

#. 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다.
"업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다.

그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다.

경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다.

경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다.

탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다.

탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다.
화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다.

사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다.


경찰 관계자는 "가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다"면서 "향후에도 예방과 회복에 최선을 다할 것"이라고 말했다.

unsaid@fnnews.com 강명연 기자

fnSurvey