28일 서울 한 지하철역에 설치된 업비트 광고. (연합뉴스)
조재우 한성대 교수는 “해커가 이더리움을 레일건(Railgun)으로 옮겨서 익명화 과정을 시키기 시작했다”면서 “레일건은 말그대로 익명화 서비스”라고 말했다.
레일건은 온체인 프라이버시 프로토콜이다. 스마트컨트랙트 기반으로 이더리움·BSC·폴리곤·아비트럼 등에서 작동한다. 사용자가 토큰을 컨트랙트에 입금하면 그 자산을 암호화된 형태로 바꾸고, 제로지식증명(zk-SNARK)기술로 ‘누가 얼마를 어디로 보냈는지’를 숨긴 채 거래를 가능하게 한다.
업비트 해커가 자금세탁 과정에서 사용한 이더리움 지갑 거래 흐름. 업비트 해커는 탈취 자금을 솔라나에서 다수 지갑으로 분산한 뒤, 올브릿지(Allbridge)를 통해 이더리움으로 이동시키고 USDT로 환전했다. (사진=이더스캔 갈무리)
가상자산추적분석 전문기업 클로인트, 조재우 교수 등 업계 전문가들의 분석을 종합하면, 해킹된 토큰은 여러개의 지갑으로 전송된 뒤, 크게 솔라나 토큰→솔라나→USD코인(USDC)→테더(USDT)→이더리움 흐름으로 환전한 것으로 나타난다.
그 과정에서 바이낸스와 여러 탈중앙화 거래소(DEX, 크로스체인 브릿지인 ‘올브릿지’와 플랫폼인 ‘카이버 스왑’, ‘CoW 프로토콜’ 등을 거쳤다. 이 과정에서 다수의 지갑으로 자금을 쪼개고 다시 모으는 과정이 반복됐다.
올브릿지(Allbridge)는 여러 블록체인 간에 코인을 옮겨주는 크로스체인 브릿지로, 여러 체인에 흩어져 있는 디파이 프로토콜을 연결해준다.
카이버 스왑은 여러 DEX의 유동성을 모아주는 멀티체인 스왑·유동성 프로토콜이고, CoW 프로토콜은 이더리움 계열에서 작동하는 DEX 통합 프로토콜이다.
업비트에 따르면 27일 기준 유출된 445억 중 23억 상당의 솔레이어 토큰 자금이 동결됐다고 밝혔다. 유출 자금은 업비트가 운영 중인 온라인과 연결된 ‘핫 월렛’에서 유출됐다.
라자루스 배후설…“아직 단정짓기는 이른 단계”
해킹 배후와 방식은 정확히 밝혀지지 않았지만, 6년 전 같은 날인 2019년 11월 27일 북한 라자루스가 업비트 자산을 탈취한 점을 들어 북한 라자루스 배후설이 불거지고 있다.
다만 실제 자금 추적과 범인을 밝히는 건 쉽지 않을 전망이다. 경찰이 2019년 업비트 해킹이 북한 라자루스·안다리엘 소행이라고 공식 결론 낸 건 2024년 11월로 5년이 걸렸다.
황석진 정보보호대학원 교수는 북한 소행설에 대해 “아직 단정 짓기 이른 단계로 보인다”면서 “다만 현재는 ‘가능성 열어둠’ 수준의 추측이며, 코드 분석·IP 추적·자금 흐름 등 추가 증거가 확보되지 않았기 때문에 정확한 사고경위와 침투경위 등을 확인해야 한다”고 말했다.
황 교수는 “과거 사례처럼 위협 행위자(false flag)가 라자루스 도구를 모방할 수 있고, 한국 소프트웨어 취약점 악용 사례(2025년 Operation SyncHole)가 별도 존재한다”면서 “2019년과 같은 날짜이고 탈취 규모, 네이버와 MOU 발표일 등의 정황 때문에 북한의 라자루스 소행을 조심스럽게 추정하는 것”이라고 말했다.
업비트 측은 유출된 자산은 업비트 보유 자산으로 전액 보전할 예정으로 회원 자산에는 영향을 미치지 않는다고 강조했다. 업비트 관계자는 “지속적으로 추적을 진행하고 있으며, 관련 프로젝트 및 기관과 협력해 추가적인 자산 동결 조치를 진행하고 있다”면서 “추가로 동결된 자금이 있다면 추후 공지할 예정”이라고 말했다.
