국내 최대 가상자산 거래소 업비트에서 지난 27일 445억 원 규모의 해킹 사건이 발생한 가운데, 북한 정찰총국 산하 해킹조직 '라자루스(Lazarus)'가 유력한 배후일 가능성이 제기되고 있다.

28일 정보통신기술(ICT) 업계와 정부 당국에 따르면, 당국은 라자루스 조직의 소행 가능성을 열어두고 업비트 본사에 대한 현장 점검을 진행 중이다.

라자루스는 지난 2019년 업비트에서 약 580억 원 상당의 이더리움을 탈취한 주체로 지목된 바 있으며, 이번 사건 역시 핫월렛(인터넷 연결 지갑) 해킹 방식이 동일하다.

정부 관계자는 "서버 직접 공격보다는 관리자 계정 탈취 또는 위장 접근을 통한 자금 이체 가능성이 크다"며 "6년 전 공격 패턴과 유사하다"고 밝혔다.

금융당국과 한국인터넷진흥원(KISA)도 합동 점검에 착수했다.

[미니해설] 北 해킹조직 ‘라자루스’, 445억 원 규모 업비트 해킹 배후로 지목

국내 최대 가상자산 거래소 업비트(운영사 두나무)에서 발생한 445억 원 규모의 해킹 사건이 북한 정찰총국 산하 해커조직 '라자루스(Lazarus)'의 소행일 가능성이 유력하게 제기되고 있다.

정부와 ICT 업계에 따르면, 당국은 이번 사고가 2019년 업비트 이더리움 580억 원 탈취 사건과 유사한 양상이라고 판단하고 있다. 당시에도 라자루스 조직이 관리 계정을 해킹해 자금을 이체한 것으로 알려졌다.

이번 해킹 역시 핫월렛(Hot Wallet)-인터넷과 연결된 운영용 지갑-에서 발생했다.

보안당국 관계자는 "서버 해킹보다는 관리자 인증정보를 탈취하거나 관리자 행세를 한 뒤 자금을 옮긴 정황이 포착됐다"며 "6년 전과 동일한 방식으로 자금이 빠져나간 것으로 보인다"고 밝혔다.

'북한 외화 조달형 해킹' 가능성 높아

보안업계에서는 이번 사건의 배후로 북한을 지목하는 근거로 '호핑(Hopping, 가상자산 자금 세탁 기법의 일종으로 탈취한 가상 자산을 여러 개의 거래소 지갑이나 개인 지갑으로 짧은 시간 내에 연속적으로 이동시키는 행위)'과 '믹싱(Mixing)' 패턴을 들고 있다.

한 보안 전문가는 "탈취된 가상자산이 여러 거래소 지갑을 거쳐 혼합(Mixing) 처리되며 자금 추적이 불가능해진 점이 전형적인 라자루스 수법"이라며 "국제자금세탁방지기구(FATF) 회원국에서는 믹싱이 차단되기 때문에 북한과 같은 비협약국의 개입일 가능성이 높다"고 설명했다.

북한은 최근 수년간 외화난 해소를 위해 가상자산 탈취를 통한 불법 외화 조달을 지속해왔다는 것이 국제사회의 중론이다.

미국 재무부와 유엔 안보리 전문가 패널에 따르면, 북한 해커조직은 2017년 이후 30건이 넘는 대형 가상자산 해킹을 통해 총 30억 달러(약 4조 원) 이상을 탈취한 것으로 추정된다.

네이버·두나무 합병 발표 당일 공격…'의도적 시점' 가능성

이번 해킹이 발생한 시점도 주목된다. 사건은 네이버파이낸셜과 두나무의 기업 결합 관련 기자간담회가 열린 27일에 발생했다.

한 보안 전문가는 "해커들은 과시 욕구가 강하고 상징적인 타이밍을 노리는 경향이 있다"며 "합병 당일 해킹을 감행한 것은 자신들의 존재감을 드러내려는 의도일 가능성이 높다"고 분석했다.

금융당국·KISA 합동조사 착수

금융위원회는 지난해 12월 법령 해석을 통해 가상자산 거래소의 고객 거래 정보가 신용정보법 적용 대상이라는 유권해석을 내린 바 있다.

이에 따라 현재 금융감독원, 금융보안원, 한국인터넷진흥원(KISA) 등이 합동으로 업비트 본사를 현장 점검하고 있으며, 피해 규모와 해킹 경로를 정밀 분석 중이다.

KISA 관계자는 "디지털 포렌식 전문가를 현장에 파견해 자금 이동 경로와 보안 취약 지점을 추적하고 있다"고 밝혔다.

"핫월렛 리스크 여전…콜드월렛 전환 가속 필요"

이번 사건을 계기로 가상자산 거래소의 핫월렛 의존 구조에 대한 경각심도 커지고 있다.

보안 전문가들은 "거래 편의성 때문에 인터넷에 연결된 핫월렛을 쓰지만, 보안 리스크가 상존한다"며 "콜드월렛(오프라인 지갑) 비중을 높이고 관리자 인증 체계를 다중화해야 한다"고 지적했다.

업계에서는 업비트의 피해 복구 가능성에도 주목하고 있다.

두나무 관계자는 "피해 규모와 경로를 면밀히 파악 중이며, 고객 자산에는 피해가 없도록 모든 조치를 취하고 있다"고 밝혔다.

한편, 업비트는 국내 시장점유율 80%에 달하는 최대 가상자산 거래소로, 자금세탁방지(AML) 시스템과 거래 이상탐지(FDS) 체계를 갖춘 것으로 평가받아왔다.

전문가들은 이번 사건을 단순한 범죄가 아닌 '사이버 안보 위협' 차원에서 접근해야 한다고 강조했다.

한국사이버안보포럼 관계자는 "북한의 해킹은 단순 금전 목적을 넘어 금융 인프라 교란을 노린 전략적 공격"이라며 "정부 차원의 국제 공조와 사이버 방어 체계 강화가 시급하다"고 지적했다.