“업비트 445억 해킹, 북한 소행 가능성 높다”…당국, 라자루스 정조준

가상자산 해킹을 둘러싼 안보 우려와 금융당국의 대응이 맞붙었다. 국내 최대 가상자산 거래소 업비트에서 445억원 규모의 가상자산이 탈취된 가운데, 정부는 북한 정찰총국 산하 해킹조직 라자루스를 유력 용의선으로 검토하며 현장 점검에 나섰다.

정보통신기술 업계와 정부 당국에 따르면 28일 현재 관계 부처는 이번 해킹 배후에 북한 정찰총국 소속 해킹조직 라자루스가 있을 가능성에 무게를 두고 업비트에 대한 긴급 점검을 진행 중이다. 당국은 해킹 경로와 자금 이동 흐름을 추적하며 사이버 안보와 금융질서 훼손 여부를 함께 들여다보고 있다.

라자루스 조직은 2019년 업비트에 보관된 580억원 상당의 이더리움이 탈취됐을 때도 배후로 지목됐던 집단이다. 당시와 마찬가지로 이번에도 인터넷과 연결된 지갑인 핫월렛에서 사고가 발생해 수법이 반복됐다는 관측에 힘이 실리고 있다.

정부 관계자는 이날 취재진에 "서버 공격보다는 관리자 계정을 탈취했거나 관리자인 척해서 자금 이체를 했을 가능성이 있다"며 "6년 전 해당 방식으로 해킹이 이뤄진 만큼 해당 방식을 제일 맞게 보고 있다"고 설명했다. 자산이 보관된 서버 자체가 아닌 인력과 계정 관리 영역이 주요 취약지점이었을 수 있다는 판단이다.

보안 업계에서는 공식 수사 결과를 지켜봐야 한다면서도 북한 소행 가능성에 주목하는 분위기다. 한 보안 전문가는 "해킹 후 다른 거래소 지갑으로 호핑한 뒤 믹싱이 발생했는데 이를 라자루스 조직의 수법으로 볼 수 있다"고 말했다. 그는 이어 "믹싱이 이뤄질 경우 거래가 추적이 불가능한데 국제자금세탁방지기구 FATF에 가입된 국가들은 믹싱이 불가능한 만큼 북한의 소행일 가능성이 높다"고 분석했다.

자금세탁을 위한 믹싱과 다단계 전송 구조는 라자루스가 과거 여러 국제 해킹 사건에서 반복해 사용한 방식으로 알려져 있다. 이에 따라 정부는 이번 사건을 단순 금융사고가 아니라 외화 확보를 노린 북한의 사이버 공격일 수 있다는 점에 주목하고 있다. 보안 업계에서는 최근 북한 경제 상황과 제재 환경을 고려할 때, 가상자산 탈취를 통한 외화 확보 시도가 지속될 것이라는 평가도 나온다.

해킹 발생 시점도 의심을 키우는 대목으로 거론된다. 사고는 네이버파이낸셜과 두나무의 합병 관련 기자간담회가 열린 지난 27일에 발생했다. 이에 대해 한 보안 전문가는 "해커들의 경우 과시욕이 강한 특성이 있다"며 "우리가 합병 당일을 선택한다는 과시욕에서 27일을 해킹 날짜로 선택했을 가능성이 있다"고 추정했다. 국내 핀테크·가상자산 시장을 둘러싼 주요 일정에 맞춰 공격을 감행해 상징성과 충격을 노렸을 수 있다는 해석이다.

금융당국과 관계 기관도 신속 대응 체제에 들어갔다. 금융위원회는 지난해 12월 법령 해석을 통해 가상자산 거래소가 보유한 이용자 거래 정보가 신용정보법상 정보에 해당한다고 유권해석을 내린 바 있다. 이에 따라 이용자 정보 보호와 관련한 감독 책임이 강화된 상황에서 금융감독원과 금융보안원이 직접 업비트 현장 점검에 착수했다.

한국인터넷진흥원도 인력을 지원해 현장 점검에 동참한 것으로 알려졌다. 사이버 공격 기법 분석과 정보보호 체계 점검을 병행하며, 재발 방지 대책을 마련하는 데 초점을 맞추고 있다는 설명이다.

정부는 향후 수사 결과와 기술 분석 자료를 토대로 라자루스 연계 여부를 최종 판단하는 한편, 가상자산 거래소 전반에 대한 보안 규제 강화와 추가 점검에 나설 방침이다. 국회 역시 사이버 안보와 연계된 가상자산 보안 이슈를 주요 현안으로 다루며 입법 보완 논의에 속도를 낼 계획이다.