국내 최대 가상자산 거래소 업비트에서 445억원 상당의 자산이 유출된 가운데, 정부와 보안 업계가 북한 해킹조직 라자루스를 유력 배후로 지목하고 있다.
X
네이버·두나무, AI와 웹3로 글로벌 공략 (사진=연합뉴스)
정부와 ICT 업계에 따르면 당국은 이번 침해 사고가 북한 정찰총국 산하 라자루스의 기존 수법과 유사하다고 판단해 업비트에 대한 현장 점검을 진행 중이다.
拉자루스는 2019년 업비트의 핫월렛에서 580억원 규모 이더리움을 탈취한 사건의 주범으로 지목됐던 집단이다. 이번에도 인터넷 연결 지갑인 핫월렛에서 사고가 발생했다.
정부 관계자는 “서버 공격보다 관리자 계정 탈취 또는 관리자 사칭으로 이체가 이뤄졌을 가능성에 무게를 두고 있다”고 설명했다. 이어 “6년 전 동일 방식이 사용된 만큼 같은 유형의 공격으로 보고 있다”고 말했다.
보안 업계는 북한의 외화난을 고려할 때 이번 사건이 북한 조직의 자금 확보 목적일 가능성이 높다고 보고 있다. 한 전문가는 “해킹 직후 자금을 다른 거래소로 ‘호핑’한 뒤 믹싱을 진행한 점은 라자루스 특유의 패턴”이라며 “FATF 가입국에서는 믹싱이 사실상 어렵기 때문에 북한 소행일 가능성이 높다”고 평가했다.
특히 사고 발생일이 네이버파이낸셜과 두나무 합병 기자간담회 당일(27일)이었다는 점도 일부 전문가들은 해커의 과시성 행동 가능성으로 언급한다. 한 보안 전문가는 “라자루스는 상징적인 날짜를 선택하는 경향이 있다”고 설명했다.
금융위원회는 지난해 가상자산 거래소의 이용자 정보가 신용정보법 적용 대상이라는 유권해석을 내린 바 있다. 이에 따라 금융감독원·금융보안원·한국인터넷진흥원(KISA)이 합동으로 업비트 현장 점검에 들어간 상태다.
정부는 사고 경위와 북한 연계 가능성을 집중 조사하며 재발 방지 대책을 마련한다는 방침이다.