27일 새벽 국내 최대 가상자산 거래소인 업비트에서 445억 원 상당의 암호화폐가 유출되는 사태가 발생했다.

공격에 활용된 지갑·IP 등 수법이 공개되진 않았지만, 북한 등 국가 배후 세력의 고도화한 공격일 수 있다는 분석이 나온다.

이날 업비트 운영사인 두나무는 "오전 4시 42분 기준 445억 원 상당의 솔라나 네트워크 계열 자산이 유출됐다"며 "관련 법령에 따라 관계기관에 비정상 출금 발생 사실을 신고했다"고 밝혔다.

현재 한국인터넷진흥원(KISA), 금융보안원 등 보안 당국이 이 사안을 조사 중이다.

KISA 관계자에 따르면 아직 공격 주체를 특정할 수 있는 단계는 아니다.

다만 취약점을 꾸준히 메꾸는 업비트 정도 거래소를 뚫었단 점에서, 고도화한 해커 소행일 수밖에 없다고 전문가들은 입을 모은다.

특히 정치자금을 위해 암호화폐를 탈취하는 북한 소행일 가능성을 배제할 수 없다.

황석진 동국대 국제정보보호대학원 교수는 "6년 전 북한 라자루스 소행으로 추정되는 공격으로 업비트에서 580억 원 규모의 암호화폐가 유출된 전적이 있다"며 "물론 어떤 지갑을 써서 자금을 이전했는지 등은 확인해야 겠지만, 시기적으로도 유사한 등 정황상 의심을 할 수밖에 없다"고 말했다.

다만 "다른 해커 세력이 추적을 피하기 위해 북한 세력인 것처럼 위장하는 경우도 있어, 단언하긴 어렵다"며 "북한 소행으로 가닥이 잡히면 보통 수사기관이 추적을 포기하기 때문에, 이같은 위장을 시도하는 경우가 있다"고 설명했다.

염흥열 순천향대 정보보호학과 교수 역시 국가 배후 세력일 가능성이 크다고 분석했다. 거래소가 지닌 키와 개인 키를 모두 탈취하는 것은 일반적인 해커가 하기 힘든, 난도가 높은 공격이라고 강조했다.

염 교수는 "업비트가 거래소 키·개인 키 모두를 사용하는 멀티사인 시스템인 걸로 안다"며 "이를 탈취할 경우 온라인과 연결된 지갑인 '핫 월렛'의 암호화폐를 다른 주소의 지갑으로 빼돌릴 수 있다"고 설명했다.

이후 해커는 여러 암호화폐 지갑을 분산시키거나 모으는 등의 '믹싱기법'을 활용해 자금 세탁을 한다. 추적을 피하려는 목적이다.

염 교수는 "미국 FBI 등 수사기관들은 북한 배후 해킹세력이 핵무기 개발 등 자금 확보를 위해 암호화폐를 탈취하는 것으로 파악한다"고 전했다.

피해를 최소화하려면 국제 공조를 통해 신속하게 지갑을 동결하는 등 조치를 취해야 한다. 암호화폐가 현금화하는 것을 막아야 한다는 의미다.

한편 두나무 측은 "고객 자산에 어떠한 피해도 발생하지 않도록 업비트 보유 자산으로 (해킹 피해 금액을) 전액 보전할 예정"이라고 말했다.

legomaster@news1.kr