업비트 445억 해킹…"6년 전 北 라자루스 수법 빼닮아"
28일 정보통신기술(ICT)ㆍ보안업계에 따르면 정부는 북한 정찰총국 소속 해킹 조직인 ‘라자루스’가 이번 사태의 배후일 가능성을 열어두고 업비트에 대한 조사에 나섰다.
정부 관계자는 “해킹 기술 측면에서 민간 해커의 소행으로 보기는 어렵고, 국가 배후 세력의 개입 가능성이 있다”며 “북한 소행 가능성도 염두에 두고 있지만, 아직 단정하긴 어렵다”고 말했다.
라자루스는 2019년 업비트에서 580억원 상당의 이더리움이 유출됐을 때 범행에 가담했던 북한 해커 조직 중 한 곳이다. 블록체인 분석업체 엘립틱(Elliptic)에 따르면 라자루스는 지난 2월 글로벌 거래량 2위인 바이빗(Bybit)에서 약 14억 달러의 이더리움을 탈취하는 등 올해에만 20억 달러(약 3조원) 상당의 암호화폐를 가로챈 것으로 추정된다.
또 황석진 동국대 정보보호대학원 교수는 “2019년 같은 날 동일한 유형의 해킹 사고가 업비트에서 있었고, 업비트(두나무)와 네이버파이낸셜이 공식 합병 발표를 하는 날이기도 했다”며 “북한의 라자루스 같은 해커 집단은 범죄의 공포감과 과시욕을 상징적으로 드러내려 하는 경향이 있다”고 설명했다.
익명을 요구한 보안전문가는 “탈취한 코인을 쪼개서 여러 지갑으로 전송하고(호핑), 흔적을 지우는 믹싱과 해외 이동을 반복하는 자금 세탁 방식은 수년간 라자루스가 사용해온 전형적인 수법”이라고 말했다. 그는 “상당수 국가가 국제자금세탁방지기구(FATF)에 가입해 믹싱이 어려운 점을 고려하면, 비가입국인 북한과의 연계 가능성도 고려해볼 수 있다”고 덧붙였다.
이와 함께 업비트가 해킹 사고를 인지한 후 사실을 공개하는 데 8시간 가까운 ‘공백’이 있었다는 점도 논란이다. 업비트 운영사인 두나무에 따르면 지난 27일 오전 4시 42분 해킹 사고를 인지하고 45분이 지난 오전 5시 27분 솔라나 계열 디지털자산의 입출금을 막았고, 3시간 28분 뒤인 8시 55분 모든 자산의 입출금을 중단했다.
하지만 해킹 사실을 공지 형태로 외부에 알린 것은 사고를 인지하고도 7시간 51분이 지난 오후 12시 33분이다. 두나무와 네이버파이낸셜의 합병 발표 행사가 끝난 건 그날 오전 10시 50분쯤이라, 행사 이후로 사고 공지를 미룬 것 아니냐는 의혹이 제기된다. 이에 대해 두나무 관계자는 “(해킹 사고 공지가 아닌) 최초 입출금 중단 공지는 오전 5시 27분에 있었고, 사후 공지는 간담회 행사가 끝나고 했다”며 “사고 규모와 원인 파악을 위한 시간이 필요했을 뿐 간담회와는 전혀 관계가 없다”고 해명했다.
정부는 이번 해킹 사태의 원인과 소비자 피해 여부를 점검 중이다. 금융감독원은 금융보안원과 함께 업비트 현장을 점검하고 있다. 경찰청 국가수사본부 사이버테러수사대도 이번 해킹 관련 내사에 나섰고, 한국인터넷진흥원(KISA)도 인력 지원을 위해 현장 점검에 들어갔다. 염흥열 순천향대 정보보호학과 교수는 “(북한의 소행 가능성은) 조사 결과가 나와봐야 확실하게 알 수 있다”며 “모든 가능성을 열어두고 조사를 할 필요성이 있다”고 말했다.
한편, 2019년 업비트 해킹 당시 경찰은 북한이 탈취한 일부 이더리움이 비트코인으로 교환돼 스위스의 암호화폐거래소에 보관된 사실을 확인했다. 경찰은 지난해 10월 4.8비트코인(당시 시세 약 6억원)을 환수해 업비트에 돌려줬다.
염지현([email protected])