두나무 업비트 또 445억 해킹당해,정부 “북한 해킹집단”

네이버와 두나무의 합병 관련 기자간담회 당일인 27일, 국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모 가상자산 해킹 사건이 발생,정부 당국이 조사에 착수했다.

28일 정보통신기술(ICT) 업계에 따르면 정부 당국과 한국인터넷진흥원(KISA)은 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성이 가장 유력하다고 보고, 전문인력을 투입해 업비트를 현장 점검하고 있다.

정보 당국이 해킹 배후로 북한 정찰총국 산하 해킹조직 라자루스를 유력하게 지목한 배경은 해킹 후 다른 거래소 지갑으로 호핑(전송)한 뒤 믹싱(자금세탁)이 발생했는데 이는 라자루스 해킹조직의 수법과 동일하기 때문이다.

보안업계 관계자는 “자금세탁이 이뤄질 경우 사실상 거래 추적이 불가능하다”면서 “국제자금세탁방지기구(FATF)에 가입된 국가들은 믹싱을 통한 자금세탁이 불가능하기 때문에 북한 해커의 소행일 가능성이 높다”고 분석했다.

실제 북한 라자루스 해커조직은 2019년에도 업비트에 보관된 가상자산 이더리움 580억원 어치를 탈취하는 해킹사건에도 가담한 것으로 지목된 해커집단이다.

이번 해킹은 인터넷과 연결된 개인지갑인 핫월렛에서 발생했는데 6년 전에도 핫 월렛에서 해킹 사고가 발생한 바 있다. 이로써 가상화폐 거래소 해킹에 이어 이젠 개인지갑에 접근해 거액을 이체하는 수법까지 등장,블록체인기반 가상자산에 대한 보안 취약성이 다시 부각되고 있다.

특히 업비트는 사고발생 피해 인지후 7시 51분만에 사실을 두나무와 네이버파이낸셜의 합병 행사가 종료된 이후에 공개, 이해진 네이버 이사회 의장과 송치형 두나무 회장 등 최고경영진이 참석한 가운데 공동기자간담회를 고려해 업비트가 공지 시점을 의도적으로 늦춘 것 아니냐는 의혹을 제기하고 있다

KISA 측은 “서버 공격보다는 관리자 계정을 탈취해 개인지갑 자금을 이체했을 가능성이 높다”면서 “2019년 업비트에 보관된 580억원어치 이더리움 해킹 탈취 방식과 거의 흡사한 것으로 추정된다”고 분석했다.

보안 업계에서는 외화 부족에 시달리는 북한이 전담 해킹조직을 운영하면서 업비트를 해킹해 가상자산을 탈취했을 정황이 높다고 보고,자금세탁 추적에 나서고 있다.

한편 업비트 해킹사고가 공교롭게도 네이버 이해진 의장과 두나무 송치형 회장의 양사간 합병 기자간담회 당일인 27일에 발생한 점에 비춰볼 때 북한 소행 가능성이 높다고 보안업계는 진단한다.

보안업계 관계자는 “북한 해커집단이 자신들의 존재감을 드러내며 대담하게 범행을 저지른 것으로 보인다”면서 “대놓고 여론의 주목을 받을수 있는 27일을 택해 해킹에 나선 것은 자신들을 과시하기 위한 해커특유의 속성”이라고 밝혔다.

금융위원회는 지난해 12월 법령해석으로 가상자산 거래소가 보유한 이용자 거래 정보가 신용정보법에 해당한다고 유권해석을 내린 점을 근거로,금융감독원과 금융보안원이 업비트를 현장 점검하고 있다고 밝혔다. 금융위와 한국인터넷진흥원(KISA)은 현장점검이 끝나는 대로 공식 발표할 계획이다.