국내 가상자산 거래소 업비트에서 약 445억 원 상당의 자산이 외부로 빠져나가는 사고가 발생했다. 정부와 관련 기관은 초기 분석에서 북한 정찰총국 산하 해킹조직 ‘라자루스’를 가장 유력한 공격 세력으로 지목하고 있다. 2019년 업비트를 공격했던 조직과 수법이 상당 부분 일치한다는 것이 이유다.

이번 사고는 인터넷 기반 지갑인 ‘핫월렛’에서 발생한 것으로 파악된다. 업비트는 과거 동일한 방식으로 수백억 원 규모의 이더리움을 탈취당한 전력이 있어, 당시와 유사한 경로로 보안 시스템이 뚫렸을 가능성에 무게가 실린다.

정부 관계자는 “서버를 정면으로 공격했다기보다 관리자 계정 탈취나 관리자 사칭 방식이 의심된다”며 “과거 사건과 구조적인 유사점이 많다”고 말했다.

보안 업계는 자산 탈취 이후 진행된 자금 이동 방식에도 주목한다. 여러 지갑으로 나눠 보내는 ‘호핑’과 흔적을 지우는 ‘믹싱’ 과정이 확인됐는데, 이는 라자루스가 수년간 사용해 온 전형적인 자금세탁 패턴이라는 분석이 나온다. 국제자금세탁방지기구(FATF)에 가입한 국가에서는 믹싱이 제한되기 때문에, 북한이 외화를 확보하기 위해 공격을 감행했을 가능성도 제기된다.

해킹 시점 또한 의혹을 키우고 있다. 업비트 운영사 두나무와 네이버파이낸셜의 합병 브리핑이 진행된 바로 그날 사건이 일어났기 때문이다. 일부 전문가들은 “라자루스는 상징적 날짜를 고르는 경향이 있다”며 “합병 이슈가 주목받는 상황에서 공격을 감행한 것은 일종의 과시일 수 있다”고 해석했다.

현재 금융감독원과 금융보안원, 한국인터넷진흥원(KISA)은 현장 조사에 착수해 지갑 관리 체계, 내부 권한 접근 기록, 이상 거래 탐지 시스템 등 전반적인 보안 체계를 점검하고 있다. 특히 금융당국은 지난해 가상자산 거래 정보가 ‘신용정보’에 해당한다는 해석을 내린 바 있어, 이번 사고가 제도적 재점검 논의로 이어질 가능성도 있다.

보안 전문가들은 반복된 사고가 다시 발생한 점을 지적하며 강화된 대응이 필요하다고 주장한다. 전문가들은 핫월렛 의존도 축소, 관리자 권한 다중화, 사회공학 공격 대응 절차 수립 등을 핵심 과제로 꼽고 있다.

0 0