국내 최대 가상자산 거래소 업비트에서 발생한 445억원 상당의 가상자산 탈취와 관련해 당국은 북한 정찰총국 산하 해킹조직 라자루스의 소행 가능성을 염두에 두고 조사 중인 것으로 28일 파악됐다.
정부 관계자는 “(현재로서는) 6년 전과 비슷한 방식으로 해킹이 이뤄졌다”면서 “서버를 공격했다기보다는 관리자 계정을 탈취했거나 관리자인 척을 해 자금을 이체했을 가능성이 있다”고 말했다. 경찰과 금융감독원·금융보안원 등은 업비트에 대한 현장 점검에 나섰고 한국인터넷진흥원(KISA)도 기술 지원을 하기로 했다.
당국과 정보보안업계가 북한의 소행 가능성을 유력하게 보는 것은 이번 해킹이 과거 북한 해킹조직이 업비트에 보관된 가상자산 탈취했던 사건과 유사하기 때문이다. 라자루스는 지난 2019년 업비트에 보관된 580억원 규모의 이더리움 34만2000개를 탈취했는데 당시에도 이번 사건과 마찬가지로 핫 월렛(네트워크가 연결된 개인 지갑)에서 해킹 사고가 발생했다.
북한이 배후로 의심되는 전 세계 가상자산 탈취 사건은 끊이지 않고 있다. 올해 2월에는 두바이 소재 세계 최대 가상자산 거래소인 바이비트에서 오프라인 이더리움 지갑을 탈취하는 방식으로 약 14억6000만 달러(약 2조1000억원) 규모의 코인 탈취 사건이 발생했다. 보안 업계에서는 이 사건 역시 라자루스 그룹 소행으로 파악했다.
블록체인 데이터 분석기업 체이널리시스는 지난해 한해 동안 북한과 연결된 해커들이 47차례에 걸쳐 전 세계 가상자산 플랫폼 절취 피해액의 61%에 달하는 13억4000만 달러를 훔쳤다는 분석을 내놨다. 한 IT 업계 전문가는 “해커는 과시욕이 강하다”며 “두나무와 네이버파이낸셜의 합병 사실이 널리 알려지는 발표 당일을 노려 (두나무가 운영하는 업비트를) 해킹했을 가능성이 있다”고 말했다.
다만 이제 조사가 시작된 상황에서 라자루스의 소행으로 단정 짓기에 근거가 부족하다는 지적도 나온다. 김승주 고려대 정보보호대학원 교수는 “몇 달 전 벌어진 SK텔레콤 해킹 사고도 아직 범행 배후를 특정하지 못한 상황에서 어제 발생한 사건을 누구 소행이라 단정하기는 어렵다”고 말했다.
이종선 김진욱 기자 remember@kmib.co.kr