이더리움 580억원 털어간 북한…스모킹건은 '헐한 일'

5년 전 국내 가상자산 거래소가 보관하던 580억원 규모의 가상화폐가 탈취된 사건이 북한의 소행인 것으로 확인됐다. 사진=연합뉴스
2019년 가상자산 거래소 업비트에서 이더리움 580억원어치를 탈취한 조직이 북한 김정은 정권의 해커집단이었다는 결정적 증거물(스모킹건)은 바로 '헐한 일'(중요하지 않은 일이라는 북한말)이라는 단어였다.

21일 경찰에 따르면 북한 말 '헐한 일'이 해킹에 사용된 컴퓨터에서 발견됐다. 북한이 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만 국내 수사기관이 공식 확인한 것은 처음이다.북한 소행임을 밝히는 데 5년이 걸린 이유는 범행 수법이 치밀하고 해외 거래소 및 기관과의 공조가 쉽지 않았기 때문으로 분석된다. 이번 건은 북한 정찰총국 소속 해커집단 '라자루스'와 '안다리엘'이 주도했다.

경찰은 모방 및 재범 우려를 이유로 구체적인 공격 방식은 공개하지 않았지만, 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 은밀히 파고들어 이를 탐지하기는 쉽지 않은 것으로 전해졌다.

탈취한 가상화폐를 세탁하는 방식도 복잡해 적발이 어렵다. 북한은 사법당국이 추적할 수 없도록 가상화폐를 세탁하는 데 필요한 '믹싱'(mixing) 사이트 3개를 직접 만들어 탈취한 이더리움의 57%를 비트코인으로 바꿔치기했다. 심지어 '이 사이트는 싸게 거래해준다'는 광고도 했다.나머지 이더리움은 중국, 미국, 홍콩 등 13개 국가의 51개 거래소로 분산 전송된 후 세탁됐다. 결국 탈취된 가상화폐라는 점을 입증하기가 쉽지 않게 된다. 해외 가상자산 거래소가 국내 수사기관의 협조 요청에 쉽사리 응하지 않는 점도 숙제다.

국내의 경우 올해 7월 가상자산이용보호법이 시행되면서 가상자산 제도권화가 시작됐지만, 해외 거래소는 여전히 제도권 밖에 머물러 있는 경우가 많다.

한편 도널드 트럼프 전 미국 대통령의 대선 승리 후 비트코인을 비롯한 가상화폐 가격이 치솟으면서 북한의 범행 시도가 더 활발해질 수 있다는 관측도 나온다.비트코인 가격은 미국 대선 이후 40%가량 상승한 상태다. 이날 오후 1시 20분께 비트코인은 9만6995달러를 기록하면서 9만7000달러 선을 노리고 있다.

이송렬 한경닷컴 기자 yisr0203@hankyung.com