북한 정찰총국 산하 라자루스·안다리엘
"공격자 사용 기기에 북 어휘 '헐한 일'"
도난당한 이더리움, 현 시세 1조4700억
경찰청 국가수사본부는 2019년 11월 업비트가 보관 중이던 이더리움 34만2000개가 탈취 당한 사건을 북한 정찰총국 산하 해킹조직 라자루스와 안다리엘의 소행으로 판단했다고 21일 밝혔다.
피해 당시 이더리움의 시세는 약 580억원으로, 현 시세로는 1조4700억원 상당으로 추산된다. 국내에서 가상자산거래소를 대상으로 한 사이버 공격이 북한 소행임이 밝혀진 것은 이번이 처음이다.
경찰은 6년 전 이더리움 탈취 사건을 보도로 접하고 수사에 착수했다. 확보한 북한의 IP 주소와 가상자산의 흐름, 북한 어휘 사용 내용, 미국 연방수사국(FBI)과의 공조로 취득한 자료 등을 종합해 2022년 11월 북한 소행으로 특정했다.
경찰 관계자는 "추적 과정에서 공격자가 사용했던 기기에 북한 어휘 '헐한 일'이 사용된 점을 확인했다"고 밝혔다. 헐한 일은 '중요하지 않은 일'을 뜻하는 북한말이다.
북한 공격자들은 단 한 번의 공격으로 이더리움 34만개를 익명계좌로 빼돌린 것으로 조사됐다.
이후 탈취한 가상자산 57%를 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨다. 해당 사이트들은 이더리움을 정상적 비트코인으로 바꿔치기 하기 위해 북한 공격자들이 만든 것으로 추정된다.
나머지 43%는 중국, 미국, 홍콩 등 13개 국가의 51개 거래소로 분산 전송된 후 세탁됐다. 이후 가상자산의 행방은 추적이 끊겼지만, 북한으로 흘러들어갔을 것으로 추정된다.
경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스에 있는 가상자산 거래소에 보관된 사실을 확인하고, 한국 거래소가 탈취당한 자산이란 점을 스위스 검찰에 증명했다.
4년 가까이 양국 간 형사사법공조를 진행한 끝에 스위스 거래소로부터 지난달 10월 4.8비트코인(현 시세 약 6억원 상당)을 환수해 이를 업비트에 돌려줬다. 해외 가상자산 거래소들이 잘 협조하지 않아 추가 피해금액 환수는 어려울 전망이다.
경찰은 수사 과정에서 확인한 가상자산 거래소에 대한 공격 수법을 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 등에 공유해 향후 유사 범행을 탐지하거나 피해를 예방하는 데 활용하도록 했다.
경찰청 관계자는 "이번 사례는 다수 관계 기관과의 장기간에 걸친 유기적인 협력을 통해 창출해낸 성과"라며 "이를 계기로 경찰은 국내외 관계기관과의 협력체계를 더욱 굳건히 하고, 사이버 공격에 대해서는 범행 방법과 주체 규명은 물론 피해 예방과 회복에도 최선을 다해 나갈 방침"이라고 밝혔다.
◎공감언론 뉴시스 nam@newsis.com