북한의 대표 해킹 조직 2곳이 국내 가상자산 거래소에서 보관 중이던 580억 상당의 가상통화(당시 시세)를 탈취한 사실이 21일 확인됐다. 현 시세로 따지면 1조 4700억 상당이다. 그간 북한의 가상자산 해킹에 대한 유엔 보고서나 외국 정부의 발표는 있었지만, 국내 수사 기관이 가상자산 거래소를 대상으로 한 사이버 공격이 북한 소행임을 규명한 건 이번이 처음이다.
경찰청 국가수사본부는 지난 2019년 11월 가상자산 거래소 ‘업비트’가 보관 중이던 580억 원 상당의 가상통화 이더리움이 탈취된 사건과 관련해, 북한 대남공작기구인 정찰총국 산하 라자루스, 안다리엘이 업비트를 합동 공격했다고 밝혔다. 이 조직들은 그동안 해킹 대상이 분화된 것으로 알려졌다. 라자루스는 정부기관 및 금융기관, 안다리엘은 군 및 국방산업을 주로 해킹해왔다. 하지만 이번에는 수사를 통해 이 북한 주요 해킹 조직들이 총동원된 사실이 밝혀진 것이다.
경찰은 미국 연방수사국(FBI)과의 공조로 확보한 북한 IP주소(인터넷 주소), 탈취된 가상자산의 흐름을 추적한 결과 북한 소행이라고 판단했다. 해킹에 사용된 정보통신기기에서 북한말로 중요하지 않은 일을 뜻하는 ‘헐한 일’이라는 단어가 사용된 흔적이 발견됐다. 경찰은 모방 및 재범 우려를 이유로 구체적인 공격 방식은 공개하지 않았다.
북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 라자루스, 안다리엘은 580억의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고, 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다.
경찰은 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스 가상자산 거래소에 보관된 사실을 확인했다. 이후 이를 스위스 검찰·경찰 등과 공조해 국내 거래소 탈취 자산이라는 점을 입증한 뒤 지난 10월 4.8비트코인(현 시세 약 6억 원 상당)을 환수해 업비트 측에 돌려줬다.
유엔 안전보장이사회 산하 대북제재위원회 전문가 패널이 지난 3월 공개한 보고서에서 2017∼2023년 북한이 가상자산 관련 업체를 상대로 사이버 공격을 벌여 탈취한 금액이 약 30억달러로 추산되며, 이와 관련한 의심 사건 58건에 대한 조사가 진행 중이라고 밝힌 바 있다. 북한은 핵·미사일 고도화에 필요한 자금 중 상당 부분을 가상자산 거래소 해킹 등 사이버 범죄로 조성하고 있는 것으로 분석된다. 미 국무부는 북한의 대량살상무기(WMD) 및 탄도미사일 개발 프로그램에 필요한 자금의 40% 이상이 가상자산 경로로 조달된다고 추정하고 있다. 국가정보원에 따르면 지난해 공공부문을 겨냥한 국가 배후 또는 국제 해킹조직의 사이버 공격은 하루 평균 162만여건으로 집계됐는데, 그중 80%는 공격 주체가 북한으로 파악됐다..