[서울=뉴시스] 김남희 기자 = 경찰청 국가수사본부가 2019년 11월 업비트가 보관 중이던 이더리움 34만2000개가 탈취 당한 사건을 북한 정찰총국 산하 해킹조직 라자루스와 안다리엘의 소행으로 판단했다고 21일 밝혔다.

피해 당시 이더리움의 시세는 약 580억원으로, 현 시세로는 1조4700억원 상당으로 추산된다. 국내에서 가상자산거래소를 대상으로 한 사이버 공격이 북한 소행임이 밝혀진 것은 이번이 처음이다.

 경찰 관계자는 "추적 과정에서 공격자가 사용했던 기기에 북한 어휘 '헐한 일'이 사용된 점을 확인했다"고 밝혔다. 헐한 일은 '중요하지 않은 일'을 뜻하는 북한말이다.

◆다음은 경찰청 국가수사본부 관계자와의 일문일답.

-가상자산 피해액 580억원이 사이버공격 최대 규모인가.

"피해 당시 시세로만 보면 최대는 아니다."

-북한이 어떻게 탈취한 건가

"공격 과정과 피해 내용 등 구체적인 부분은 공개하지 않는 것으로 방침을 정했다. 재범과 모방범죄 우려가 있다."

-북한 어휘가 어디서 사용된 건가.

"흔적을 찾다 보면 공격자가 사용했던 기기들이 나오고 분석 과정에서 북한 어휘를 사용했던 걸 확인할 수 있었다. '헐한 일'이라는 중요하지 않은 일이라는 뜻의 북한말 사용이 확인됐다.

-어떤 맥락으로 쓰인 건가

"공개할 수 없다. 저희가 알고 있는 게 공개돼버리면 공격자 측에서는 더 조심하게 된다."

-북한 소행이란 걸 특정한 시기는 언제인가

"지금부터 약 2년쯤 전인 2022년 11월이다."

-북한이 여러 차례 공격해서 580억원을 빼간 건가

"한 번의 공격이었다. 가상자산 전송이 한 번 있었다."

-거래소에 취약점이 있었던 건가

"윈도우도 계속 업데이트 되는 것처럼 만드는 업체에서는 완벽하다고 하지만 새로운 취약점이 계속 공개된다. 결과만 놓고 거래소가 취약하다는 결론을 내릴 수도 있지만, 그런 분위기로 몰아가면 안 될 것 같다."

-환수된 게 4.8비트코인뿐이다. 피해액 환수 어려운 이유는

"가상자산이 많은 줄기로 퍼저 나간다. 일일이 확인하다 보면, 이미 다른 곳으로 재전송되어 남은게 없는 경우가 많다."

-처음 업비트가 스위스에 연락했을 때는 피해액이 얼마나 남아 있었나

"(최종) 환수한 4.8비트코인보다 약간 더 많았었던 걸로 기억한다. 스위스 검찰 및 경찰과 얘기하면서 업비트 소유가 맞다는 걸 확인해서 환수한 게 4.8비트코인이다. 액수에 차이가 나는 이유는 가산자산을 섞는 걸 믹싱이라고 하는데 딱 떨어지지 않는다."

-스위스 외 다른 나라에서는 확인된 게 있나

"해외거래소에 확인 요청을 하고 회신도 일부 받았는데 나머지는 실패했다."

-스위스만 협조한 건가

"그렇다."

-탈취한 가상자산이 현금화돼서 북한으로 흘러갔는지 파악됐나

"가상자산 추적 과정에서 끊겼다. 이후 어떻게 됐는지 확인한 건 아니다."

-가상자산 교환사이트 3개가 북한 해킹조직이 자체적으로 만든 것이란 근거는

"탈취된 자산이 공격자의 주소로 들어갔다가 사이트로 바로 갔다. 가상자산의 흐름상 같은 세력이 아니면 (이렇게) 움직일 수 없다. 이를 토대로 같은 공격자, 북한이 만든 것으로 추정했다."

-해당 사이트에 이번에 탈취한 580억원 상당의 이더리움 말고 다른 세탁 시도 있었나

"못 밝혀냈다. 이 용도로만 사용된 것 같다."

-수사에 거의 5년이 걸렸는데 북한 소행임을 밝혀내는 데 오래 걸리는 이유는

"본 사건 발생 당시만 해도, 국가간 공조나 외국업체와의 협조를 이끌어 내는데에 상당한 시간이 소요되었다. 국가마다, 기업마다 조금씩 다르다. 환수도 마찬가지다. 피해 업체에 피해액을 돌려준 게 최근이라 이번에 발표한 거다."

-세탁 추정 금액은

"57%는 북한이 만든 것으로 추정되는 3개 사이트에서 바뀌었고, 나머지 43%는 거래소로 보내서 매매사이트로 들어가거나 분산돼서 다른 거래소로 들어가는 방식으로 세탁했다."

-탈취한 금액을 어디 사용했는지는 모르나

"추적이 끊겼다"

-추적 끊긴 시점은

"2~3년 정도 추적한 후 끊겼다."

-앞으로 조치할 게 있나

"환수한 것을 끝으로, 나중에라도 찾게 되면 하겠지만 지금은 (추가 환수가) 힘든 것으로 보고 있다."

-협조하지 않은 해외 거래소들은 회신 없거나 거절했다고 했는데 거절 사유는

"회신 조차 안 해주는 곳이 태반이다. 입증 부분도 있고 협조 의무가 없다고도 말한다. 우리나라의 경우 올해 7월 가상자산이용자보호법이 시행돼 거래소가 제도권에 있으나 해외는 아닌 경우가 많다."

-코인 투자자들이 해킹을 불안해 하지 않아도 되는 건가

"업체들이 높은 수준의 보안을 한다고 대외적으로 말하기도 하고 저희도 취약점을 발견하면 전달한다. 2019년 당시만 해도 가상자산 거래소 초반이라 보안이 약했을 수 있다. 가상자산이용자보호법이 시행되면서 거래소는 이용자 피해를 막기 위한 예치금을 보관하고 있어야 하는 등의 보호장치가 마련됐다."

-지금 시점에서 해킹 시도를 하면 모니터링에 걸려서 막을 수 있나.

"업체별로 구체적인 예방시스템을 일일이 보지는 않았지만  잘할 것이라 본다. 2017년에 거래소 4개 대상으로 사칭메일 공격이 있었는데 사전에 탐지돼서 피해가 없었던 것으로 확인되기도 했다.


◎공감언론 뉴시스 nam@newsis.com