업비트, 5년전 34만개 털려
현재 가치로는 1조4700억
美FBI와 수사 공조한 경찰
“북한 정찰총국 소행” 결론
탈취한 코인 치밀하게 세탁
스위스 거래소까지 활용
경찰이 5년 전 국내 가상자산 거래소 업비트가 보관하던 이더리움이 대규모로 도난당한 사건을 북한 소행이라고 결론지었다. 가상자산 거래소를 대상으로 한 사이버 공격이 북한 소행이라는 사실을 규명한 것은 이번이 처음이다.
21일 경찰청 국가수사본부는 IP주소(인터넷 주소)와 가상자산의 흐름, 북한 어휘 흔적 등 증거와 함께 미국 연방수사국(FBI) 공조로 확보한 자료를 토대로 이같이 판단했다고 밝혔다.
앞서 2019년 11월 27일 업비트에선 이더리움 34만2000개가 비정상적으로 옮겨지는 사건이 발생했다. 탈취당한 가상자산은 당시 시세로 약 580억원, 현 시세로는 1조4700억원에 이른다.
이 사건에는 북한 정찰총국 산하 해커집단인 ‘라자루스’와 ‘안다리엘’이 가담한 것으로 파악됐다. 이전까지 라자루스는 정부기관이나 금융기관을 주로 해킹하고 안다리엘은 국방 분야를 노렸지만, 가상자산 탈취에는 역할을 구분하지 않았다.
수사 결과, 경찰은 공격자가 사용한 기기에 북한 특유 표현인 ‘헐한 일’이 사용된 점을 확인했다. 헐한 일은 ‘중요하지 않은 일’을 뜻하는 북한말이다.
북한은 사법당국이 추적할 수 없도록 가상자산을 세탁하는 데 필요한 ‘믹싱’ 사이트 3개를 직접 만들고, 탈취한 이더리움의 57%를 이 사이트를 통해 비트코인으로 바꿨다. 북한은 ‘이 사이트는 싸게 거래해준다’는 해외 광고를 하기도 했다. 나머지 이더리움은 중국·미국 등 해외 51개 거래소로 분산 전송해 세탁했다. 탈취 자산이라는 점을 입증하기 어렵게 만든 것이다.
이후 가상자산은 현금으로 바뀌어 북한에 흘러 들어간 것으로 추정되지만, 경찰은 탈취된 가상자산이 실제로 북한에 흘러들어갔는지까지는 확인하지 못 했다.
다만 경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스 가상자산 거래소에 보관된 사실을 확인했다. 이에 경찰은 스위스 검찰에 해당 가상자산이 한국 거래소 탈취 자산이라는 점을 입증한 뒤 지난달 4.8비트코인(현재 약 6억원)을 환수해 업비트 측에 돌려줬다. 이를 환수받는 데만 4년 가까운 시간이 걸렸다. 나머지 가상자산은 환수가 어려울 것으로 경찰은 내다보고 있다.
업비트 이더리움 탈취 사건이 발생했던 당시 국내 보안업계는 북한 해커들의 소행일 가능성이 높다고 의심했다. 북한 해커들의 소행이라는 사실을 경찰이 특정한 시점은 사건이 발생한 지 3년 만인 2022년 11월이었던 것으로 알려졌다. 경찰은 스위스 거래소로부터 4.8비트코인을 환수받은 것을 계기로 업비트 해킹 사건이 발생한 지 5년 만에야 공식 수사 결과를 발표했다.
경찰이 북한 소행이라는 것을 특정하는 데 3년, 수사에 총 5년이 걸린 이유는 범행 수법이 치밀하고, 해외 거래소·기관들의 협조를 이끌어내는 데 어려움이 있었기 때문이다. 경찰 관계자는 “사건 발생 당시만 해도 국가 간 공조나 외국 업체와의 협조를 이끌어 내는 데 상당한 시간이 소요됐다. 국가마다, 기업마다 조금씩 다르다. 환수도 마찬가지”라고 말했다.
경찰은 수사 과정에서 확인한 북한의 가상자산 거래소 공격 수법을 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군, 가상자산 거래소 등에 공유했다. 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용할 수 있도록 정보를 제공한 것이다.
경찰 관계자는 “국내외 관계기관과의 협력체계를 강화하겠다”며 “사이버 공격에 대해선 범행 방법과 주체 규명은 물론, 피해 예방과 회복에도 최선을 다하겠다”고 밝혔다.
English (US) · 