5년 전 국내 가상자산 거래소 업비트에서 580억원 상당의 이더리움이 털린 사건이 북한 해킹조직의 소행으로 확인됐다. 국내 수사기관이 북한의 가상자산 해킹 범죄를 확인한 것은 처음이다.
경찰청 국가수사본부는 2019년 11월 업비트가 보관 중이던 이더리움 34만2000개가 탈취된 사건을 북한 소행으로 파악했다고 21일 밝혔다. 탈취된 자산의 당시 시세는 약 580억원이다. 현 시세로는 1조4700억원에 달한다.
경찰은 미국 연방수사국(FBI)과의 공조로 확보한 북한의 인터넷 접속 주소(IP)와 가상자산 흐름 등을 종합해 해당 범죄에 북한이 연관돼 있다는 점을 밝혀냈다. 북한 정찰총국 산하 해킹조직 ‘라자루스’와 ‘안다리엘’이 사건에 가담한 것으로 조사됐다. 사이버 공격에 사용된 컴퓨터에서 북한말인 ‘헐한 일’(중요하지 않은 일)이라는 용어를 쓴 흔적이 나왔고, 경찰은 이것이 북한 소행임을 확인하는 결정적 증거가 된다고 판단했다.
이들은 단 한 번의 공격으로 34만2000개의 이더리움을 익명 계좌로 빼돌렸다. 북한이 탈취한 이더리움의 약 57%는 북한이 개설한 것으로 추정되는 가상자산 교환 사이트 3곳을 통해 시세보다 2.5% 싼 가격에 비트코인으로 교환됐다. 나머지 43%의 이더리움은 중국 미국 홍콩 등 13개국 51개 거래소로 분산 전송된 뒤 세탁됐다.
탈취된 가상자산 일부는 뒤늦게 업비트로 돌아갔다. 경찰은 2020년 10월 비트코인으로 바꿔치기 된 일부 피해 자산이 스위스의 한 가상자산 거래소에 보관 중이라는 사실을 확인했다. 이후 4년에 걸쳐 스위스 검찰에 해당 비트코인이 국내에서 탈취당한 자산이란 점을 증명했다. 경찰은 지난달 피해 자산 일부인 4.8비트코인(약 6억원)을 환수해 업비트에 돌려줬다.
북한이 사이버 범죄로 핵전력 고도화에 필요한 자금을 마련한다는 유엔 보고서나 외국 정부 발표는 있었다. 국내 수사로 북한의 가상자산 해킹 범죄가 규명된 건 처음이다. 미 국무부는 북한의 대량살상무기(WMD) 및 탄도미사일 개발 프로그램에 필요한 자금의 40% 이상이 가상자산 경로로 조달된다고 추정한다.
신재희 기자 jshin@kmib.co.kr