580억 규모 이더리움 탈취, 5년 만에 북 소행 밝혀져…위험 계좌 미리 동결하고 거래소 협력 강화 목소리
해킹 사건 진상을 추적하는 데 5년이란 시간이 걸린 것을 두고 뒷말이 무성하다. 국내 가상자산 거래소가 북한 해킹 사각지대라는 지적도 그중 하나다. 정부 차원에서 글로벌 공조를 통해 북한 해커의 가상자산 탈취를 사전에 예방해야 한다는 목소리가 나온다.
2019년 11월 국내 가상자산 거래소 업비트에서 이더리움 34만 2000개가 탈취됐다. 당시 기준 이더리움 34만 2000개는 580억 원 규모였다. 현재 시세 기준으론 약 1조 4000억 원 규모에 해당하는 어마어마한 양이다. 경찰은 5년이 지나서야 이 해킹 사건을 북한 소행으로 확인했다. 수사기관은 북한 정찰총국 산하 해커조직 ‘라자루스’와 ‘안다리엘’이 5년 전 해킹에 직접 가담한 것으로 본다.
그동안 북한을 대표하는 해커 조직으론 김수키, 라자루스, 안다리엘 등이 거론됐다. 김수키는 정부기관, 라자루스는 금융기관, 안다리엘은 국방분야에 뚜렷한 강점을 보이는 해커 조직으로 알려져 있었다. 그런데 업비트에서 발생한 이더리움 탈취 과정에서 라자루스와 안다리엘의 흔적이 동시에 발견됐다고 한다. 북한 해커 조직의 협업이 적극적으로 이뤄지고 있다는 정황으로 해석된다.
경찰은 해킹 사건 전말을 밝혀내기 위해 미국 연방수사국(FBI)과 공조했다. 수사 과정에서 확보한 IP주소, 탈취 가상자산 이동 흐름, 북한 어투 등을 근거로 해킹 주체가 북한임을 확인했다. 공격 과정에서 ‘헐한 일’이라는 용어를 쓴 흔적이 발견됐다. ‘헐한 일’은 북한말로 중요하지 않은 일이라는 뜻이다. 이 단어는 해킹 배후가 북한인 것을 밝혀내는 데 결정적인 실마리로 작용한 것으로 전해진다.
북한이 업비트를 통해 탈취한 이더리움과 관련한 ‘자금세탁’은 복잡한 과정을 거쳤다. 경찰에 따르면 탈취된 이더리움 중 57%에 해당하는 물량이 북한 개설 추정 가상자산 교환사이트 3개를 통해 비트코인으로 교환됐다. 시세보다 2.5% 저렴한 가격으로 교환된 것으로 파악되고 있다. 나머지 가상자산 물량은 해외 51개 거래소로 분산 전송돼 자금 세탁 과정을 거쳤다.
스위스는 한국 정부와 공조를 통해 북한이 탈취한 가상자산 일부를 한국으로 반환했다. 2020년 10월 비트코인으로 세탁된 일부 가상자산이 스위스 한 가상자산 거래소에 보관 중인 것으로 확인됐고, 경찰은 스위스 당국에 협조를 요청해 공조 수사를 펼친 바 있다.
11월 26일 ‘미국의 소리(VOA)’에 따르면 스위스 법무장관실은 “2022년 1월 한국으로부터 상호 사법 공조 요청을 받아 요청을 실행했음을 확인한다”면서 “한국 당국의 탁월한 협력 덕분에 23만 2000스위스프랑(약 3억 6000만 원) 상당 비트코인이 한국으로 반환됐다”고 했다.
스위스 검찰, 경찰 등은 스위스 가상자산 거래소에 보관된 비트코인이 한국 업비트 거래소에서 탈취당한 것을 입증한 뒤 2023년 10월 해당 가상자산을 반환한 것으로 파악되고 있다. 환수된 가상자산은 4.8비트코인(BTC)으로 현 시세 기준 약 6억 원 규모다. 11월 28일 기준 4.8BTC는 약 126.1969이더리움(ETH)로 교환할 수 있다. 탈취된 가상자산 대비 반환받은 가상자산 규모는 0.036%에 불과하다.
사이버 보안업계와 가상자산 업계에선 북한의 국제적 범법행위 재발을 방지하기 위해 한 박자 빠른 예방책이 필요하다는 지적이 나온다. 업비트 이더리움 탈취사건은 국내 가상자산 거래소에 대한 북한의 직접적 사이버 공격이 공식 확인된 첫 사례다.
보안업계 한 관계자는 “가상자산 거래소는 전 세계적으로 국경 없이 운영되고 있다”면서 “거래소 보안 강화는 물론이고 글로벌 공조가 병행되지 못한다면 북한 가상자산 해킹에 만성적으로 피해를 볼 수 있다”고 경고했다.
이 관계자는 “이번 사건은 5년 전 기준으로도 북한의 사이버 범죄가 고도화되고 있다는 점을 보여주는 대목”이라면서 “국제사회 공조 체계에 우리나라가 적극적으로 참여해 유사 사례를 예방할 필요가 있다”고 했다. 그는 “정부가 각국 사정기관뿐 아니라, 글로벌 가상자산 거래소들과 유기적인 협력체계를 구축해 북한 해킹 및 자금세탁 루트를 동시에 차단하는 것이 중요한 과제로 떠오르고 있는 상황”이라고 덧붙였다.
한 국내 가상자산 프로젝트 관계자는 일요신문에 “국내 가상자산 거래소들은 지난 5년 동안 해킹에 대한 방비태세를 성공적으로 갖춰왔다”라면서 “그러나 북한의 해킹 기술도 기상천외한 방식으로 최신화 되고 있기 때문에 향후 시장의 건전한 발전을 위해선 민관 글로벌 협력체계가 반드시 자리잡을 필요가 있다”고 지적했다.
이 관계자는 “업비트가 탈취당한 이더리움 물량에 대해선 결국 업비트가 감당해야 하는 구조”라면서 “국내 1위 거래소에 대해서도 거리낌 없이 사이버 공격을 감행하는 북한 특성을 살펴봤을 때 이런 사례가 만성화된다면 국내 가상자산 시장 자체가 신뢰성을 잃어버릴 수 있다”고 우려했다.
해외 가상자산 프로젝트 관계자는 일요신문과 만나 “국방 분야에선 북한의 도발 징후가 보일 시 선제 타격을 통해 도발 자체를 일어나지 않게 하는 프로세스가 가동되고 있지 않느냐”면서 “범죄 행위를 통해 가상자산을 탈취하는 금융 안보적 측면에서도 도발 징후가 보이는 계좌들을 미리 동결하는 ‘선제 타격’형 대처법이 효과적일 수 있다”고 내다봤다.
이 관계자는 “그런데 한국 당국에선 해외 거래소가 북한 자금 유출 통로라는 이유로 ‘쇄국 정책’ 기조를 유지하는 상황”이라면서 “원화로 직접 코인 거래를 하는 한국 시장 특성과 북한과 휴전 중인 특수한 상황 등이 맞물리면서 이도 저도 아닌 모호한 규제들이 ‘공조 체계 구성’ 첫 스텝마저 가로막고 있다”고 지적했다.
실제로 국제사회에선 각국 거래소 및 수사당국 간 협력체계를 구축해 북한 관련성이 의심되는 계좌를 선제적으로 동결하는 조치를 잇따라 시행하고 있다. 2023년 2월 15일 블록체인 분석업체 ‘엘립틱’에 따르면 바이낸스와 후오비 등 해외 거래소가 북한 해커조직 라자루스와 연계된 것으로 추정되는 가상자산 자금 140만 달러를 동결했다.
같은 해 5월 25일 바이낸스는 미국 재무부와 협력해 북한 해커조직과 연계된 것으로 추정되는 440만 달러 규모 범죄 자금 가상자산을 압수하고 계좌를 동결하기도 했다. 이때 동결시킨 자금은 평양 지휘자동화대학으로 흘러갈 예정이었던 것으로 파악되고 있다. 지휘자동화대학은 라자루스를 비롯한 북한 해커들을 양성하는 교육기관으로 알려져 있다.
이 밖에도 북한 ‘E-소매치기’에 대처하는 해외 거래소 간 협력체계 밀도는 점점 높아지고 있는 흐름이다. 업계 관계자는 “우리나라 정보기관 및 금융 감독 기관 등에서 관할하는 모니터링 시스템보다 훨씬 디테일한 체계를 해외 거래소들이 가지고 있다”면서 “해외 사정당국도 거래소 간 협력체계를 적극 활용하고 있는 단계에 접어들었다”고 했다.
대한민국에선 국가정보원이 2023년 FBI(미국 연방수사국) 공조를 통해 북한이 탈취한 가상자산을 최초로 동결한 바 있다. 국정원은 FBI와 협력해 2023년 2월과 6월 두 차례에 걸쳐 약 345만 달러에 해당하는 가상자산을 동결했다.
가상자산 업계 또 다른 관계자는 “해외 거래소들이 유기적으로 협력해 동결하는 북한 가상자산 계좌 규모가 국정원 등 정부가 주도하는 규모보다 훨씬 크다”면서 “금융 시스템 보호에 대한 전면적인 인식 개선이 필요하다”고 주장했다.
이 관계자는 “국회에서는 미인가 해외거래소 불법영업을 제한할 방안만 꾸준히 거론되고 있다. 금융당국은 국내시장에 공식적으로 진출하려는 해외 거래소들을 지속적으로 밀어내고 있는 상황”이라면서 “사실상 북한발 가상자산 해킹 방어체계에서 우리나라만 무장해제 상태”라고 강조했다. 그는 “이런 식으로 가다가는 대한민국 가상자산 시장만 외딴 섬처럼 인식될 것”이라고 덧붙였다.
금융당국은 해외 거래소가 북한 자금세탁 통로로 활용될 가능성에 초점을 맞추며 한국 진출 문턱을 높이고 있는 양상이다. 이런 금융당국 스탠스에 따라 해외 가상자산 거래소 운영사들이 한국을 탈출하는 추세도 뚜렷해지고 있다.
북한 가상자산 계좌 동결 협력체계를 구축한 이력이 있는 해외거래소 바이낸스와 후오비는 각각 한국 시장에서 고배를 마시고 있다. 바이낸스는 2023년 국내 거래소 고팍스 대주주가 됐지만, 금융당국서 임원변경 신고 수리 등 형식적 행정절차 처리에 미온적 태도를 보이며 경영권을 행사하지 못하는 상황이다. 바이낸스 내부에선 ‘한국 진출 당위성’에 대한 회의론까지 제기되고 있다는 후문이다.
후오비는 한국 자회사인 후오비코리아가 2024년 1월 서비스를 공식 종료했다. 후오비코리아는 특정금융정보법(특금법) 시행 이후 원화마켓 거래소 운영을 위한 실명 확인 입출금계좌를 확보하지 못하면서 만성적자에 시달려 왔다. 후오비코리아는 한국 시장 진출 6년 만에 ‘철수’를 선언했다. 후오비코리아 한국시장 철수도 금융당국 ‘쇄국정책’과 무관하지 않다는 시각이 지배적이다.
캐셔레스트와 코인빗 등 해외거래소들도 2023년 한국시장에서 철수하면서, 업계 일각에선 ‘사이버 보안 측면에서 국내 가산자산 시장의 글로벌 고립이 심화되고 있다’는 지적이 나온다.
이동섭 기자 hardout@ilyo.co.kr
-
힐링하는 무경쟁 게임…MZ세대 사로잡은 '피크민 블룸' 인기 비결
온라인 기사 ( 2024.11.28 17:53 )
-
[단독] LG 맏사위 윤관, BRV코리아 여직원에 고급 스포츠카 사준 까닭은…
온라인 기사 ( 2024.11.28 16:13 )
-
‘글로벌 공조’ 절실한데…국내 가상자산 거래소 북한 해킹 사각지대 우려
온라인 기사 ( 2024.11.29 15:08 )