북한 라자루스·안다리엘 두 해킹조직 관여
‘헐한 일’ 북한말도…교환사이트 만들어 세탁도

북한 정찰총국 산하 해킹 조직이 5년 전 우리나라 최대 가상자산 거래소에서 당시 580억원 상당(현재 약 1조 4700억 원)의 가상자산을 탈취한 사실이 21일 확인됐다. 수사기관이 확인한 결정적 증거물(스모킹건)은 바로 ‘헐한 일’(중요하지 않은 일이라는 북한말)이라는 단어였다. 북한이 해외 등 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고, 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만, 국내 수사기관이 공식 확인한 것은 처음이다.

경찰청 국가수사본부는 2019년 11월 북한의 대남공작기구인 정찰총국 소속 해킹 조직 ‘라자루스’, ‘안다리엘’ 2곳이 국내 가상자산 거래소 ‘업비트’가 보관하던 이더리움 34만 2000개를 탈취했다고 이날 밝혔다. 그간 라자루스는 정부 기관과 금융기관을 안다리엘은 군 및 국방산업을 주로 공격해 왔다.

경찰은 2022년 11월쯤 이번 사건의 배후를 북한으로 보고 수사를 이어왔다. 미국 연방수사국(FBI)과 공조 등을 통해 북한의 IP주소와 탈취된 가상자산 흐름 등을 추적한 결과다. 해커가 사용한 정보통신기기에서 ‘헐한 일’ 등 북한말이 오간 정황이 주요 증거였다고 한다. 경찰은 모방이나 재범을 우려해 구체적인 해킹 방식은 공개하지 않았지만 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 파고들어 이를 탐지하기가 쉽지 않은 것으로 전해졌다.

북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 해킹 조직은 580억의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고, 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다. 이렇게 분산시킬 경우 탈취된 가상화폐라는 점을 입증하기가 어려워진다.

경찰은 스위스 당국과 공조 끝에 스위스의 한 가상자산 거래소에 남아있던 4.8비트코인(현재 시세 기준 약 6억원)을 환수해 지난달 업비트에 돌려줬다. 경찰은 다른 해외 거래소도 접촉했지만 대부분 협조 요청에 답하지 않거나 탈취된 가상자산이라는 게 입증되지 않았다며 환수를 거절한 것으로 알려졌다.

북한은 지난 7월 인도 최대 가상자산 거래소에서 2억 달러(약 2700억원) 상당의 가상자산이 탈취된 건과 관련해 범인으로 지목된 바 있다. 블록체인 데이터 분석기업 ‘체이널리시스’는 북한 해킹 조직이 탈취한 가상자산이 지난해 10억 달러(약 1조 3900억원)에 달할 것으로 추산했다.

김형중 고려대 정보보호대학원 교수는 “현금과 달리 가상자산은 탈취하면 전송이 쉬운 특성상 개인 지갑이나 시세 조종 등 약한 고리를 노리는 북한 해커의 시도가 계속될 수 있다”고 말했다.