국내 최대 암호화폐거래소 업비트를 해킹한 배후로 북한 해킹그룹 ‘라자루스’가 28일 지목됐다. 라자루스의 주요 수법인 핫월렛(온라인에 연결된 디지털 지갑)-콜드월렛(오프라인 디지털 지갑) 중간 지점 해킹 방식과 비슷하다는 분석이 제기됐다. 단순 범죄로 볼 것이 아니라 국가 금융 보안 차원에서 대책을 세워야 한다는 목소리가 나온다.
보안당국은 전날 발생한 업비트의 445억원 규모 가상자산 해킹에 대해 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성이 높다고 보고 조사하고 있다. 과학기술정보통신부 관계자는 “6년 전과 동일한 날에 동일한 방식으로 해킹을 당한 건 같은 북한 조직의 소행일 가능성이 크다”며 “핫월렛 수법 특성상 관리자 계정을 탈취한 뒤 자금을 이체했을 것”이라고 말했다. 라자루스는 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등을 주도한 북한의 대표 해킹 조직이다.
업비트는 2019년 11월에도 라자루스의 공격을 받았다. 당시 라자루스는 이더리움을 노렸다. 스피어 피싱(특정 대상을 겨냥한 이메일 사기)이나 악성코드를 주입해 핫월렛 접근 권한과 거래 승인에 필수적인 개인 키를 확보하고 관리자가 직접 출금하는 것처럼 위장해 34만2000ETH(당시 580억원) 전량을 해커가 통제하는 지갑으로 단숨에 전송했다. 이번 해킹이 발생한 27일은 업비트 운영사인 두나무와 네이버가 합병 방침을 공식 발표한 날이었다.
업비트는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 보호 조치했다고 밝혔다. 하지만 해킹된 자산이 미확인 지갑으로 전송된 사실이 확인돼 해커가 출금 절차를 우회하는 데 성공했다는 점이 드러났다. 한 대형 보안기업 관계자는 “콜드월렛에 보관돼 있던 자산을 핫월렛으로 옮기는 과정에 필요한 다중 서명이나 출금로직에 허점이 있었고 해커가 여기를 파고들었을 것”이라고 말했다.
해킹으로 인한 전 세계 가상자산 탈취액 중 북한 비중은 2022년 42.5%에서 지난해 79.3%로 뛰었다. 수천 명의 엘리트 해커를 양성하는 북한은 자금 세탁이 용이하고 현금화가 빠른 가상자산 해킹에 집중하고 있다. 특히 한국의 주요 거래소를 노리는 것은 자금 확보는 물론 사회적 혼란을 야기하려는 투트랙 전략이라는 분석이 제기된다.
가상자산거래소 해킹을 국가 차원의 안보 문제로 인식하고 대응해야 한다는 지적이 나온다. 2019년 업비트 해킹 후 개정된 특정금융정보법으로 가상자산 사업자는 ISMS(정보보호관리체계) 인증 취득을 의무화했지만 이번 사건으로 또다시 허점이 발견됐다는 지적이다. 보안업계 관계자는 “보안에 선제적인 투자가 이뤄지지 않으면 인공지능(AI) 시대 ‘힘의 균형’이 해커 그룹으로 넘어갈 수 있다”고 경고했다.
고은이/최지희/강경주 기자 koko@hankyung.com
◇당국 “배후에 북한 라자루스 유력”
보안당국은 전날 발생한 업비트의 445억원 규모 가상자산 해킹에 대해 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성이 높다고 보고 조사하고 있다. 과학기술정보통신부 관계자는 “6년 전과 동일한 날에 동일한 방식으로 해킹을 당한 건 같은 북한 조직의 소행일 가능성이 크다”며 “핫월렛 수법 특성상 관리자 계정을 탈취한 뒤 자금을 이체했을 것”이라고 말했다. 라자루스는 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등을 주도한 북한의 대표 해킹 조직이다.
업비트는 2019년 11월에도 라자루스의 공격을 받았다. 당시 라자루스는 이더리움을 노렸다. 스피어 피싱(특정 대상을 겨냥한 이메일 사기)이나 악성코드를 주입해 핫월렛 접근 권한과 거래 승인에 필수적인 개인 키를 확보하고 관리자가 직접 출금하는 것처럼 위장해 34만2000ETH(당시 580억원) 전량을 해커가 통제하는 지갑으로 단숨에 전송했다. 이번 해킹이 발생한 27일은 업비트 운영사인 두나무와 네이버가 합병 방침을 공식 발표한 날이었다.
업비트는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 보호 조치했다고 밝혔다. 하지만 해킹된 자산이 미확인 지갑으로 전송된 사실이 확인돼 해커가 출금 절차를 우회하는 데 성공했다는 점이 드러났다. 한 대형 보안기업 관계자는 “콜드월렛에 보관돼 있던 자산을 핫월렛으로 옮기는 과정에 필요한 다중 서명이나 출금로직에 허점이 있었고 해커가 여기를 파고들었을 것”이라고 말했다.
◇가상자산 탈취액의 79%가 北 소행
해커들은 최근 들어 한 번의 공격으로 천문학적 보상을 얻을 수 있는 ‘고래급’ 가상자산거래소를 노리고 있다. 블록체인 분석 기업 체이널리시스에 따르면 올해 상반기 가상자산 범죄 피해액은 22억달러로 2024년 전체 가상자산 해킹 피해액(16억9000만달러)을 뛰어넘었다. 지난 2월 라자루스의 바이비트 해킹 사건은 단일 피해액이 14억6000만달러(약 2조1000억원)에 달했다.해킹으로 인한 전 세계 가상자산 탈취액 중 북한 비중은 2022년 42.5%에서 지난해 79.3%로 뛰었다. 수천 명의 엘리트 해커를 양성하는 북한은 자금 세탁이 용이하고 현금화가 빠른 가상자산 해킹에 집중하고 있다. 특히 한국의 주요 거래소를 노리는 것은 자금 확보는 물론 사회적 혼란을 야기하려는 투트랙 전략이라는 분석이 제기된다.
가상자산거래소 해킹을 국가 차원의 안보 문제로 인식하고 대응해야 한다는 지적이 나온다. 2019년 업비트 해킹 후 개정된 특정금융정보법으로 가상자산 사업자는 ISMS(정보보호관리체계) 인증 취득을 의무화했지만 이번 사건으로 또다시 허점이 발견됐다는 지적이다. 보안업계 관계자는 “보안에 선제적인 투자가 이뤄지지 않으면 인공지능(AI) 시대 ‘힘의 균형’이 해커 그룹으로 넘어갈 수 있다”고 경고했다.
고은이/최지희/강경주 기자 koko@hankyung.com
관련뉴스
