2019년 11월, 국내 최대 가상자산 거래소 업비트가 겪은 대규모 해킹 사건의 배후가 북한 해킹조직으로 최종 확인됐다. 경찰청 국가수사본부는 이번 사건이 북한 정찰총국 산하 해킹조직 '라자루스'와 '안다리엘'의 소행임을 공식 밝혔다.
당시 탈취된 이더리움은 34만2000개로, 피해 당시 시세로는 약 580억원에 달했다. 현재 시세로 환산하면 무려 1조4700억원에 이르는 천문학적인 금액이다. 이는 국내 가상자산 거래소를 대상으로 한 북한발 사이버 공격으로는 첫 사례로 기록됐다.
경찰의 수사는 철저했다. 북한의 IP 주소, 가상자산 이동 경로, 북한 고유 어휘 사용 등 다각도로 증거를 수집했다. 특히 미국 연방수사국(FBI)과의 긴밀한 공조를 통해 추가 정보를 확보했으며, 2022년 11월 최종적으로 북한 소행임을 특정했다.
흥미로운 점은 해킹 과정에서 발견된 북한 특유의 표현이다. 수사관들은 공격자가 사용한 기기에서 '헐한 일'이라는 북한말을 발견했다. 이는 '중요하지 않은 일'을 의미하는 북한 고유 어휘로, 해커들의 언어적 특징을 보여준다.
북한 해커들의 자금 세탁 방식도 놀랍다. 탈취한 이더리움의 57%는 자체 제작한 3개 가상자산 교환사이트를 통해 시세보다 2.5% 저렴한 가격에 비트코인으로 전환했다. 나머지 43%는 13개국 51개 거래소로 분산 전송돼 추적을 어렵게 만들었다.
다행인 점은 스위스와의 형사사법공조를 통해 피해 자산의 일부를 환수했다는 것이다. 4년간의 협력 끝에 지난 10월, 약 6억원 상당의 4.8 비트코인을 되찾아 업비트에 돌려줬다.
경찰은 이번 사건의 해킹 수법을 국정원, 금융감독원, 한국인터넷진흥원 등 관계기관과 공유하며 향후 유사 사이버 공격에 대비하고 있다. 경찰 관계자는 "다수 기관과의 장기적이고 유기적인 협력을 통해 이뤄낸 성과"라며 "앞으로도 국내외 관계기관과 협력해 사이버 공격에 적극 대응하겠다"고 밝혔다.
