업비트 1.5조 가상자산 털어간 사건, 북한 짓이었다

[이데일리 손의연 기자] 지난 2019년 국내 가상자산 거래소 업비트에서 현 시세로 약 1조4700억원 상당(당시 580억원 시세)의 이더리움이 유출된 사건에 대해 경찰이 북한의 소행으로 결론지었다.

북한의 업비트 이더리움 탈취 과정 설명도 (사진=경찰청)

경찰청 국가수사본부(국수본)는 2019년 11월 발생한 ‘업비트 이더리움 34만2000개 탈취사건’에 대해 북한의 라자루스 등 해커 조직 소행으로 판단했다고 21일 밝혔다.

가상자산거래소를 대상으로 한 사이버 공격이 북한 소행임을 밝힌 것은 이번이 국내 첫 사례다. 경찰은 북한 정찰총국 산하 라자루스와 안다리엘 등 2개 조직이 범죄에 연관된 것으로 보고 있다.

경찰은 지난 2022년 11월 이더리움 탈취 사건의 배후를 북한으로 판단하고 수사해왔다. 수사 과정에서 확보한 북한의 아이피 주소와 가상자산의 흐름, 북한 어휘 사용 등의 증거와 장기간에 걸친 미국 연방수사국(FBI)과의 공조로 취득한 자료를 종합해 북한 소행으로 판단했다. 경찰 관계자는 “일례로 공격자 조직에서 사용한 통신기기에서 ‘헐한 일(중요하지 않은 일)’이라는 어휘가 발견됐다”며 “구체적 수사 과정은 공개하기 어렵다”고 설명했다.

북한은 자체적으로 만든 것으로 추정되는 교환사이트 3개를 통해 탈취한 가상자산의 57%를 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꾼 것으로 파악된다. 나머지 43%는 중국·미국·홍콩 등 13개 국가에 있는 해외 51개 거래소로 분산해 전송한 후 세탁했다.

다만 탈취한 가상자산 중 북한으로 얼마나 많은 금액이 흘러 들어갔는지는 파악이 어렵다는 입장이다. 경찰 관계자는 “비트코인 추적 과정에서 추적이 끊겼다”며 “자금세탁으로 흘러가면 찾기가 힘들어지는데, 많은 시도를 했지만 더 이상 추적이 어려웠다”고 했다.

경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스의 한 거래소에 보관된 것을 확인해 피해자산 환수를 위한 조치를 취했다. 대한민국 검찰·법무부와 스위스 검찰 등과 협력해 4년 가까이 공조를 진행, 지난 10월 4.8비트코인(현 시세 6억원)을 환수해 업비트에 돌려줄 수 있었다.

경찰 관계자는 “스위스의 경우엔 환수를 위한 협조가 이뤄져 피해 거래소에 일부를 돌려줄 수 있었지만 이외 해외 거래소에선 우리 요청에 대해 회신이 오지 않거나 거절했다”며 “우리나라의 경우 가상자산이 제도권에 있지만, 해외에선 아닌 경우도 있고 거래소들이 협조하지 않겠다고 하면 강제할 수 없다”고 말했다.

한편 경찰은 수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법을 국정원 국가사이버위기관리단·금융감독원·금융보안원·한국인터넷진흥원·가상자산거래소 관계자들에게 공유해 향후 이와 유사한 범행 피해를 예방하는 데 활용하도록 했다. 경찰 관계자는 “사이버 공격에 대해 범행 방법과 주체 규명은 물론, 피해 예방과 회복에도 최선을 다해 나갈 방침”이라고 밝혔다.

북한의 자금세탁용 교환사이트 화면(사진=경찰청)