북한이 2019년 국내 가상 자산 거래소에서 보관 중이던 580억원 상당 가상 화폐를 탈취한 사실이 21일 확인됐다. 현 시세로 따지면 1조4700억원 상당이다. 그간 해킹 배후가 북한이라는 유엔 보고서, 미국 정부 발표 등이 나왔지만, 국내 수사기관이 가상 자산 거래소를 대상으로 한 사이버 공격이 북한 소행임을 규명한 건 이번이 처음이다.
경찰청 국가수사본부는 지난 2019년 11월 가상 자산 거래소 ‘업비트’가 보관 중이던 580억원 상당의 가상 통화 이더리움 34만2000개가 탈취된 사건과 관련해, 북한 대남 공작 기구인 정찰총국 산하 라자루스, 안다리엘이 업비트를 합동 공격했다고 밝혔다. 이 조직들은 그동안 해킹 대상이 분화된 것으로 알려졌다. 라자루스는 정부기관 및 금융회사, 안다리엘은 군 및 방산업체 등을 주로 해킹해 왔다. 하지만 이번에는 수사를 통해 이 북한 주요 해킹 조직들이 가상 자산 탈취에 총동원된 사실이 밝혀진 것이다.
경찰은 미국 연방수사국(FBI)과의 공조로 확보한 북한 IP(인터넷 주소), 탈취된 가상 자산의 흐름을 추적한 결과를 근거로 북한 소행이라고 판단했다. 해킹에 사용된 컴퓨터 등 정보 통신 기기에서 북한식 표현으로 중요하지 않은 일을 뜻하는 ‘헐한 일’이라는 한국어 단어가 사용된 흔적도 발견됐다. 경찰은 모방 범죄 우려를 이유로 구체적인 공격 방식은 공개하지 않았다. 경찰 관계자는 “탈취된 업비트의 이더리움이 독립 전산망이 아닌, 외부와 온라인으로 연결된 암호 화폐 지갑인 ‘핫월렛’에 보관 중이었기 때문에 해킹에 상대적으로 취약한 측면이 있었다”고 했다.
북한은 추적을 피하기 위해 탈취한 가상 자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 라자루스, 안다리엘은 580억원의 절반 이상을 북한이 자체적으로 만든 가상 자산 교환 사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨다. 나머지는 미국·중국·홍콩 등 13국 거래소 51곳으로 분산 전송 후 세탁했다.
경찰은 피해 가상 자산 중 일부가 비트코인으로 바뀌어 스위스 가상 자산 거래소에 보관된 사실을 확인했다. 경찰은 검찰, 법무부를 통해 스위스에 형사 사법 공조를 요청했다. 경찰 관계자는 “이 비트코인이 범행으로 빼돌려진 탈취 자산이라는 점을 입증해야만 했다”며 “최근 4년간 스위스 검찰 측과 화상‧전화 회의를 수차례 진행했고 스위스 연방검찰청사를 찾아가 관련 자료들을 제출한 끝에, 지난 10월 4.8비트코인(현 시세 약 6억원 상당)을 환수해 업비트 측에 돌려줬다”고 했다. 경찰은 다른 해외 가상 자산 거래소에도 환수 요청을 했지만, 스위스를 제외한 나머지 국가, 거래소는 아직까지 협조하지 않고 있다.
북한은 핵·미사일 고도화에 필요한 자금 중 상당 부분을 가상 자산 거래소 해킹 등 사이버 범죄로 조성하고 있는 것으로 추정된다. 유엔 안전보장이사회 산하 대북제재위원회는 지난 3월 전문가 패널 연례 보고서를 통해 2017~2023년 북한이 사이버 공격으로 탈취한 금액이 총 30억달러(약 4조원)로 추산된다고 밝혔다. 미 국무부는 북한의 대량살상무기(WMD) 및 탄도미사일 개발 프로그램에 필요한 자금의 40% 이상이 가상 자산 경로로 조달된다고 보고 있다.