"북한, 업비트서 '이더리움' 580억 탈취"…정찰총국 산하 조직 범행

5년 전 국내 가상자산(암호화폐) 거래소 업비트에서 발생한 가상자산 탈취 사건이 북한 소행인 것으로 드러났다. 가상자산 거래소를 대상으로 한 사이버 공격이 북한 소행으로 밝혀진 건 이번이 처음이다.

경찰청 국가수사본부는 지난 2019년 11월 업비트가 보관 중이던 이더리움 34만 2000개 탈취 사건을 북한 소행으로 판단했다고 21일 밝혔다. 피해 당시 시세로 환산하면 약 580억 원 상당, 현 시세 약 1조 4700억 원 상당에 해당하는 자산이다.

해당 사건에는 북한 정찰총국 산하 해킹조직 '라자루스', '안다리엘' 등 2곳이 개입된 것으로 확인됐다.

경찰은 수사를 통해 확보한 북한의 아이피(IP) 주소와 가상자산 흐름, 북한 어휘 사용 내용 등 증거와 미국 연방수사국(FBI)과 공조로 취득한 자료를 종합해 이 같은 판단을 내렸다. 공격자가 사용한 정보통신기기에서는 북한말로 중요하지 않은 일을 뜻하는 '헐한 일'이라는 단어가 사용된 흔적이 발견됐다.

탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환 사이트 3개를 통해 시세보다 2.5% 싼 가격에 비트코인으로 바뀌었고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁된 것으로 파악됐다.
경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스 가상자산 거래소에 보관된 사실을 확인했다. 이후 이를 스위스 검찰·경찰 등과 공조해 한국 거래소 탈취 자산이라는 점을 입증한 뒤 지난 10월 4.8비트코인(현 시세 약 6억 원 상당)을 환수해 업비트 측에 돌려줬다.

또 수사 과정에서 확인한 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유해 피해 예방에 활용할 수 있도록 했다.

경찰 관계자는 "가상자산 거래소에 대한 사이버 공격을 북한 소행으로 결론 내린 첫 사례"라며 "현재 거래소 보안 수준이 많이 발전했고, 가산자산이용자보호법이 시행되는 등 보호 장치가 마련돼 이용자들이 막연한 불안감을 가질 필요는 없다"고 말했다.



Ktiger@news1.kr