읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
5년 전 580억대 이더리움 탈취, 北 소행이었다… 북한말 '헐한 일'이 단서
알림
알림
  • 알림이 없습니다

5년 전 580억대 이더리움 탈취, 北 소행이었다… 북한말 '헐한 일'이 단서

입력
2024.11.21 12:00
수정
2024.11.21 15:39
1면
0 0

北 소행 국내 수사기관 확인은 최초
공격자 컴퓨터에 남은 북한 말 포착
스위스로부터 비트코인 6억 원 환수

게티이미지뱅크

게티이미지뱅크

5년 전 국내 한 가상자산 거래소가 580억 원 상당의 가상자산을 도난당한 사건이 북한 소행으로 확인됐다. 북한이 가상자산 거래소 공격으로 탈취한 암호화폐 등을 핵이나 미사일 개발에 사용한다는 유엔 보고서나 외국 정부 발표는 있었지만 국내 수사기관에서 이를 밝힌 건 처음이다.

경찰청 국가수사본부는 2019년 11월 국내 가상자산 거래소 '업비트'가 보관 중이던 이더리움 34만2,000개를 탈취한 사건을 북한의 소행으로 판단했다고 21일 밝혔다. 피해 당시 시세는 580억 원 상당으로 현재 가치로는 1조4,700억 원에 달한다.

경찰은 북한 정찰총국 산하 해커 조직인 라자루스, 안다리엘이 함께 공격을 감행했다고 보고 있다. 경찰은 모방이나 재범 우려가 있다며 구체적인 해킹 방식은 공개하지 않았다. 다만, 공격자들이 해킹 과정에서 '헐한 일'이라는 단어를 사용한 게 단서가 됐다. 이는 '중요치 않은 일'이라는 뜻의 북한 말이다. 이후 수사를 통해 2022년 11월 북한의 인터넷 프로토콜(IP) 주소를 확보했고, 가상자산의 흐름과 미국 연방수사국(FBI)과의 공조로 취득한 자료를 기반으로 북한의 소행이라고 결론지었다.

사건 개요도. 경찰청 제공

사건 개요도. 경찰청 제공

공격자들은 단 한 번의 공격으로 이더리움 34만 개를 익명 계좌로 빼돌린 것으로 조사됐다. 이 가운데 57%는 북한이 자체 개설한 가상자산 교환 사이트 3개를 통해 세탁한 것으로 추정된다. 경찰 관계자는 "북한이 임시 매매사이트를 만들었고 이더리움을 비트코인으로 바꾸기 위해 시세보다 2.5% 할인한 가격으로 해외 다른 나라에 광고했다"고 설명했다. 사이트는 현재 폐쇄됐으며, 이곳을 통해 세탁된 자금 역시 약 2년 전부터 추적이 끊겼다.

북한이 제작한 것으로 추정되는 자금세탁 사이트. 경찰청 제공

북한이 제작한 것으로 추정되는 자금세탁 사이트. 경찰청 제공

나머지 43%는 13개국 51개 거래소로 분산 전송 후 세탁된 것으로 보인다. 이 중 스위스에 있는 4.8비트코인(현 시세 약 6억 원)은 스위스 사법 당국과의 공조를 통해 올해 10월 업비트에 환수됐다. 그러나 중국과 미국, 홍콩 등 다른 국가들은 협조 요청에 답하지 않거나 인과관계가 입증이 안 된다며 환수를 거절했다.

수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유됐다. 경찰 관계자는 "지금은 업체들이 높은 수준의 보안을 유지하고 있고, 가상자산보호법이 올 7월부터 시행되면서 보호장치가 마련됐다"며 "막연한 불안감을 가질 필요는 없다"고 전했다.

서현정 기자

관련 이슈태그

제보를 기다립니다

기사를 작성한 기자에게 직접 제보하실 수 있습니다. 독자 여러분의 적극적인 참여를 기다리며, 진실한 취재로 보답하겠습니다.

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.