이더리움 580억 탈취, 北 소행…"북한 어휘 '헐한 일' 발견"[일문일답]

등록 2024.11.21 12:05:41수정 2024.11.21 13:21:33

[서울=뉴시스] 정병혁 기자 = 국가수사본부 2024.06.14. jhope@newsis.com

[서울=뉴시스] 정병혁 기자 = 국가수사본부 2024.06.14. [email protected]

[서울=뉴시스] 김남희 기자 = 경찰청 국가수사본부가 2019년 11월 업비트가 보관 중이던 이더리움 34만2000개가 탈취 당한 사건을 북한 정찰총국 산하 해킹조직 라자루스와 안다리엘의 소행으로 판단했다고 21일 밝혔다.

피해 당시 이더리움의 시세는 약 580억원으로, 현 시세로는 1조4700억원 상당으로 추산된다. 국내에서 가상자산거래소를 대상으로 한 사이버 공격이 북한 소행임이 밝혀진 것은 이번이 처음이다.

경찰 관계자는 "추적 과정에서 공격자가 사용했던 기기에 북한 어휘 '헐한 일'이 사용된 점을 확인했다"고 밝혔다. 헐한 일은 '중요하지 않은 일'을 뜻하는 북한말이다.

다음은 경찰청 국가수사본부 관계자와의 일문일답.

-가상자산 피해액 580억원이 사이버공격 최대 규모인가.

"피해 당시 시세로만 보면 최대는 아니다."

-북한이 어떻게 탈취한 건가

"공격 과정과 피해 내용 등 구체적인 부분은 공개하지 않는 것으로 방침을 정했다. 재범과 모방범죄 우려가 있다."

-북한 어휘가 어디서 사용된 건가.

"흔적을 찾다 보면 공격자가 사용했던 기기들이 나오고 분석 과정에서 북한 어휘를 사용했던 걸 확인할 수 있었다. '헐한 일'이라는 중요하지 않은 일이라는 뜻의 북한말 사용이 확인됐다.

-어떤 맥락으로 쓰인 건가

"공개할 수 없다. 저희가 알고 있는 게 공개돼버리면 공격자 측에서는 더 조심하게 된다."

-북한 소행이란 걸 특정한 시기는 언제인가

"지금부터 약 2년쯤 전인 2022년 11월이다."

-북한이 여러 차례 공격해서 580억원을 빼간 건가

"한 번의 공격이었다. 가상자산 전송이 한 번 있었다."

-거래소에 취약점이 있었던 건가

"윈도우도 계속 업데이트 되는 것처럼 만드는 업체에서는 완벽하다고 하지만 새로운 취약점이 계속 공개된다. 결과만 놓고 거래소가 취약하다는 결론을 내릴 수도 있지만, 그런 분위기로 몰아가면 안 될 것 같다."

-환수된 게 4.8비트코인뿐이다. 피해액 환수 어려운 이유는

"가상자산이 많은 줄기로 퍼저 나간다. 일일이 확인하다 보면, 이미 다른 곳으로 재전송되어 남은게 없는 경우가 많다."

-처음 업비트가 스위스에 연락했을 때는 피해액이 얼마나 남아 있었나

"(최종) 환수한 4.8비트코인보다 약간 더 많았었던 걸로 기억한다. 스위스 검찰 및 경찰과 얘기하면서 업비트 소유가 맞다는 걸 확인해서 환수한 게 4.8비트코인이다. 액수에 차이가 나는 이유는 가산자산을 섞는 걸 믹싱이라고 하는데 딱 떨어지지 않는다."

-스위스 외 다른 나라에서는 확인된 게 있나

"해외거래소에 확인 요청을 하고 회신도 일부 받았는데 나머지는 실패했다."

-스위스만 협조한 건가

"그렇다."

-탈취한 가상자산이 현금화돼서 북한으로 흘러갔는지 파악됐나

"가상자산 추적 과정에서 끊겼다. 이후 어떻게 됐는지 확인한 건 아니다."

-가상자산 교환사이트 3개가 북한 해킹조직이 자체적으로 만든 것이란 근거는

"탈취된 자산이 공격자의 주소로 들어갔다가 사이트로 바로 갔다. 가상자산의 흐름상 같은 세력이 아니면 (이렇게) 움직일 수 없다. 이를 토대로 같은 공격자, 북한이 만든 것으로 추정했다."

-해당 사이트에 이번에 탈취한 580억원 상당의 이더리움 말고 다른 세탁 시도 있었나

"못 밝혀냈다. 이 용도로만 사용된 것 같다."

-수사에 거의 5년이 걸렸는데 북한 소행임을 밝혀내는 데 오래 걸리는 이유는

"본 사건 발생 당시만 해도, 국가간 공조나 외국업체와의 협조를 이끌어 내는데에 상당한 시간이 소요되었다. 국가마다, 기업마다 조금씩 다르다. 환수도 마찬가지다. 피해 업체에 피해액을 돌려준 게 최근이라 이번에 발표한 거다."

-세탁 추정 금액은

"57%는 북한이 만든 것으로 추정되는 3개 사이트에서 바뀌었고, 나머지 43%는 거래소로 보내서 매매사이트로 들어가거나 분산돼서 다른 거래소로 들어가는 방식으로 세탁했다."

-탈취한 금액을 어디 사용했는지는 모르나

"추적이 끊겼다"

-추적 끊긴 시점은

"2~3년 정도 추적한 후 끊겼다."

-앞으로 조치할 게 있나

"환수한 것을 끝으로, 나중에라도 찾게 되면 하겠지만 지금은 (추가 환수가) 힘든 것으로 보고 있다."

-협조하지 않은 해외 거래소들은 회신 없거나 거절했다고 했는데 거절 사유는

"회신 조차 안 해주는 곳이 태반이다. 입증 부분도 있고 협조 의무가 없다고도 말한다. 우리나라의 경우 올해 7월 가상자산이용자보호법이 시행돼 거래소가 제도권에 있으나 해외는 아닌 경우가 많다."

-코인 투자자들이 해킹을 불안해 하지 않아도 되는 건가

"업체들이 높은 수준의 보안을 한다고 대외적으로 말하기도 하고 저희도 취약점을 발견하면 전달한다. 2019년 당시만 해도 가상자산 거래소 초반이라 보안이 약했을 수 있다. 가상자산이용자보호법이 시행되면서 거래소는 이용자 피해를 막기 위한 예치금을 보관하고 있어야 하는 등의 보호장치가 마련됐다."

-지금 시점에서 해킹 시도를 하면 모니터링에 걸려서 막을 수 있나.

"업체별로 구체적인 예방시스템을 일일이 보지는 않았지만 잘할 것이라 본다. 2017년에 거래소 4개 대상으로 사칭메일 공격이 있었는데 사전에 탐지돼서 피해가 없었던 것으로 확인되기도 했다.

◎공감언론 뉴시스 [email protected]