北, 5년 전 업비트서 이더리움 580억 털었다

경찰, 북한 소행 첫 확인…현 시세 1.5조 달해

정찰총국 2개 해커조직 동원
암호화폐거래소 사이버 공격
'헐한 일' 등 北 어휘 사용 흔적

해외 51곳에 전송 뒤 자금세탁
경찰, 6억 규모 스위스서 환수
2019년 암호화폐거래소 업비트가 보관하던 580억원어치 이더리움 탈취 사건의 범인이 북한 해커집단인 것으로 확인됐다. 북한이 조직적으로 암호화폐 해킹에 나선 것에 대한 유엔과 외국 정부 보고서는 있었지만, 국내 수사당국이 이를 공식적으로 확인한 건 이번이 처음이다.

○경찰 “이더리움 34만2000개 탈취”

21일 경찰청 국가수사본부는 2019년 11월 27일 오후 1시6분께 업비트가 보관 중이던 이더리움 34만2000개가 익명 계좌로 유출된 사건에 대해 북한 정찰총국 산하 해킹조직인 라자루스와 안다리엘 등 2개 집단이 조직적으로 범행에 가담한 사실을 확인했다고 밝혔다. 당시 업비트는 입출금을 2주간 정지하면서 큰 영업 손실을 봤다.

경찰은 북한의 인터넷주소(IP)와 탈취된 암호화폐의 흐름, 추적 과정에서 확인된 북한 어휘 사용 흔적, 미국 연방수사국(FBI)과의 공조로 확보한 자료 등을 종합적으로 판단해 북한 해킹집단의 소행이라고 결론 내렸다. 모방 및 재범이 우려돼 구체적인 공격 방식을 공개하진 않았다. 수사를 통해 ‘헐한 일’(허드렛일) 등 특징적인 북한 어휘를 찾았다는 설명이다.

이후 북한은 훔친 이더리움 일부를 되팔거나 다른 계정으로 옮기는 등 조직적으로 ‘돈세탁’ 작업을 했다. 해킹 직후 스스로 개설한 것으로 추정되는 암호화폐 교환 사이트 세 곳을 활용해 이더리움 중 57%가량을 당시 시세보다 2.5%가량 싼 가격에 비트코인으로 바꿨다. 나머지 이더리움은 미국 중국 등 13개 국가, 51개 거래소로 분산해 전송했다.수사 1년여 만인 2020년 10월 경찰은 비트코인으로 바꿔치기된 일부 자산이 스위스의 한 암호화폐거래소에 보관돼 있다는 사실을 확인했다. 이후 4년간 스위스 사법당국에 해당 비트코인이 국내 탈취자산이라는 점을 소명했고, 지난달 피해 자산 일부인 4.8비트코인을 환수해 업비트에 되돌려줬다. 당시 한 번의 전송으로 탈취당한 자산은 현 시세 기준으로 1조4700억원어치에 달한다. 경찰 관계자는 “여러 차례 세탁 과정으로 북한의 현금화 시점 및 규모를 파악하긴 어려웠다”고 설명했다.

○북한판 ‘국책사업’ 된 암호화폐 해킹

업비트에서 이더리움을 빼간 라자루스와 안다리엘은 김수키와 함께 북한 3대 해커 집단으로 꼽힌다. 라자루스는 2016년 방글라데시 중앙은행에서 8100만달러를 빼간 전력이 있다. 안다리엘은 2013년 국내 전산망 장애를 일으킨 조직으로 알려져 있다.

북한은 해커를 직접 양성하며 핵심 기밀과 암호화폐를 훔치는 범죄를 저질러왔다. 우리 정보당국은 북한의 해킹 역량이 전반적으로는 세계 10위권, 금융·암호화폐 분야에선 세계 최고 수준인 것으로 보고 있다. 유엔과 미국 등은 북한이 암호화폐를 해킹한 자금으로 대량살상무기를 개발하는 데 사용했다고 보고 있다. 유엔 안전보장이사회의 보고서에 따르면 지난해 북한 해커집단이 탈취한 사건은 총 17건으로 범행 시세 기준으로 7억5000만달러(약 1조원)에 달한다.이 사건을 계기로 암호화폐업계에서도 해킹에 대한 대대적 대비책이 마련됐다. 업비트의 경우 보안을 강화하기 위해 ‘콜드월렛’ 비중을 70% 이상으로 높였다. 콜드월렛이란 인터넷이 차단돼 해킹으로부터 자유로운 암호화폐 지갑을 말한다. 업비트 측은 “사건 당시 네트워크와 연결된 ‘핫월렛’이 털렸던 것”이라며 “사건 이후 지갑을 다각도로 분산 운영하는 등 대비책을 마련했다”고 설명했다. 경찰 관계자는 “북한이 탈취에 사용한 해킹 수법을 금융당국 등에 공유해 추가 피해를 막을 수 있게 활용할 계획”이라고 말했다.

조철오 기자 cheol@hankyung.com