경찰, 北 정찰총국 해커부대 소행 파악

북한의 가상자산 탈취 최초 확인 사례

4.8비트코인 확보 후 피해업체에 전달

해커 사진
[123rf]

[헤럴드경제=박준규 기자] 5년 전 가상자산 거래소 업비트에서 34만2000개의 이더리움을 탈취한 사건이 북한 정찰총국 해킹 집단의 소행으로 파악됐다. 국내서 벌어진 가상자산 탈취의 배후에 북한이 있다는 게 확인된 건 이번이 처음이다. 이더리움은 탈취 당시 시세로 580억원 규모였는데, 이후 가상자산 가격이 크게 오르면서 현재가치는 1조4700억원이 됐다.

21일 경찰청에 따르면 2019년 11월 업비트 탈취 사건이 발생한 이후 5년 가까이 수사를 이어왔다. 경찰은 인터넷주소(IP)와 가상자산 흐름 등을 추적하면서 여러 증거를 수집했는데 이 과정에서 북한에서 쓰이는 어휘 ‘헐한 일’(중요하지 않은 일) 등을 발견했다.

경찰은 미국 연방수사국(FBI)와 수사공조를 통해 얻은 자료를 분석해 2022년 11월께 북한 해킹 집단인 라자루스와 안다리엘이 관여한 것으로 최종 판단했다. 두 집단은 북한 정찰총국이 운용하는 해커 부대로 알려졌다.

참고사진
탈취한 가상자산을 세탁(믹싱)하는 서비스를 제공하는 사이트 화면 [경찰청 제공]

북한 해커부대는 탈취한 이더리움 가운데 57%는 자체적으로 만든 가상자산 교환사이트 3곳을 통해 비트교인으로 바꿨다. 나머지 이더리움은 국외 51개 거래소로 나눠서 전송한 뒤 믹싱(Mixing)한 것으로 경찰 조사에서 확인됐다. 믹싱은 범죄자산을 세탁하려는 목적에서 가상자산 트랜잭션을 섞거나 쪼개는 수법. 믹싱된 자산은 추적도 어렵다.

현재는 경찰의 피해 가상자산을 겨냥한 추적이 막힌 상태다. 일부는 북한 당국이 현금화를 마친 것으로 추정된다.

경찰은 피해 가상자산을 회수하고자 국외 가상자산 거래소와 접촉했다. 이 가운데 일부 가상자산이 스위스의 한 거래소에 보관된 사실을 파악한 경찰은 스위스 사법당국과 협업을 거쳐 지난 10월 4.8비트코인(현 시세 약 6억원)을 환수했고 업비트 측에 돌려줬다.

경찰은 다른 나라의 가상자산 거래소와도 피해자산 환수를 위해 접촉했으나, 협조를 얻지 못했다. 경찰청 사이버테러수사대 관계자는 “외국에는 가상자산이 제도화된 곳이 많지 않기 때문에 수사 공조를 받기가 어렵다”고 말했다.