5년 전 국내 가상자산 거래소 업비트에 보관하던 580억원 규모의 가상화폐가 탈취된 사건이 북한의 소행인 것으로 확인됐다.
경찰청 국가수사본부 사이버테러대응과는 21일 지난 2019년 11월 업비트에서 발생한 이더리움 34만2000개 탈취 사건을 북한의 소행으로 판단했다고 밝혔다. 가상자산 공격 주체로 북한이 지목된 것은 이번이 국내에서 처음이다.
당시 북한이 탈취한 이더리움 34만2000개의 당시 시세는 580억 원 수준이었지만, 현재 시세는 1조4700억 원에 달한다.
경찰은 북한 정찰총국 산하 라자루스와 안다리엘 등 2개 조직이 범죄에 연관된 것으로 보고 있다.
경찰은 지난 2022년 11월부터 이더리움 탈취 사건의 배후를 북한으로 판단하고 수사해왔다.
이러한 판단은 북한의 아이피 주소와 가상자산의 흐름, 북한 어휘 사용 등 증거와 장기간에 걸친 미국 연방수사국(FBI)과의 공조로 취득한 자료들을 종합한 결과이다.
일례로 추적 과정에서 공격자가 사용했던 기기에 북한 어휘 ‘헐한 일’이 사용된 점이 확인됐다. 헐한 일은 ‘중요하지 않은 일’을 의미하는 북한어이다.
특히 북한이 탈취한 이더리움의 추적을 피하고자 자금세탁하는 과정에서 자신들이 만든 믹싱 사이트 3개를 활용한 것으로도 드러났다.
북한 공격자들은 단 한 번의 공격으로 이더리움 34만개를 익명 계좌로 빼돌렸다. 이후 탈취한 가상자산 57%를 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨다.
이 사이트들은 이더리움을 정상적 비트코인으로 바꿔치기하기 위해 북한 공격자들이 만든 것으로 추정된다.
나머지 43%는 중국, 미국, 홍콩 등 13개 국가의 51개 거래소로 분산 전송된 후 세탁됐다. 이후 가상자산의 행방은 추적이 끊겼지만 북한으로 흘러 들어갔을 것으로 조사됐다.
경찰은 피해 가상자산 중 일부가 비트코인으로 바꿔 스위스에 있는 가상자산 거래소에 보관된 사실을 확인하고, 한국 거래소가 탈취당한 자산이란 점을 스위스 검찰에 증명했다.
이에 스위스 거래소는 지난 10월 4.8비트코인(현 시세 약 6억원 상당)을 환수해 업비트에 돌려줬다.