5년 전 국내 한 가상자산 거래소가 580억 원 상당의 가상자산을 도난당한 사건이 북한 소행으로 확인됐다. 북한이 가상자산 거래소 공격으로 탈취한 암호화폐 등을 핵이나 미사일 개발에 사용한다는 유엔 보고서나 외국 정부 발표는 있었지만 국내 수사기관에서 이를 밝힌 건 처음이다.
경찰청 국가수사본부는 2019년 11월 국내 가상자산 거래소 '업비트'가 보관 중이던 이더리움 34만2,000개를 탈취한 사건을 북한의 소행으로 판단했다고 21일 밝혔다. 피해 당시 시세는 580억 원 상당으로 현재 가치로는 1조4,700억 원에 달한다.
경찰은 북한 정찰총국 산하 해커 조직인 라자루스, 안다리엘이 함께 공격을 감행했다고 보고 있다. 경찰은 모방이나 재범 우려가 있다며 구체적인 해킹 방식은 공개하지 않았다. 다만, 공격자들이 해킹 과정에서 '헐한 일'이라는 단어를 사용한 게 단서가 됐다. 이는 '중요치 않은 일'이라는 뜻의 북한 말이다. 이후 수사를 통해 2022년 11월 북한의 인터넷 프로토콜(IP) 주소를 확보했고, 가상자산의 흐름과 미국 연방수사국(FBI)과의 공조로 취득한 자료를 기반으로 북한의 소행이라고 결론지었다.
공격자들은 단 한 번의 공격으로 이더리움 34만 개를 익명 계좌로 빼돌린 것으로 조사됐다. 이 가운데 57%는 북한이 자체 개설한 가상자산 교환 사이트 3개를 통해 세탁한 것으로 추정된다. 경찰 관계자는 "북한이 임시 매매사이트를 만들었고 이더리움을 비트코인으로 바꾸기 위해 시세보다 2.5% 할인한 가격으로 해외 다른 나라에 광고했다"고 설명했다. 사이트는 현재 폐쇄됐으며, 이곳을 통해 세탁된 자금 역시 약 2년 전부터 추적이 끊겼다.
나머지 43%는 13개국 51개 거래소로 분산 전송 후 세탁된 것으로 보인다. 이 중 스위스에 있는 4.8비트코인(현 시세 약 6억 원)은 스위스 사법 당국과의 공조를 통해 올해 10월 업비트에 환수됐다. 그러나 중국과 미국, 홍콩 등 다른 국가들은 협조 요청에 답하지 않거나 인과관계가 입증이 안 된다며 환수를 거절했다.
수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유됐다. 경찰 관계자는 "지금은 업체들이 높은 수준의 보안을 유지하고 있고, 가상자산보호법이 올 7월부터 시행되면서 보호장치가 마련됐다"며 "막연한 불안감을 가질 필요는 없다"고 전했다.