북한 해킹조직 ‘라자루스’, 또다시 업비트 해킹 배후로 지목

■ 445억 규모 업비트 핫월렛 해킹 발생

국내 최대 가상자산 거래소 중 하나인 업비트에서 445억 원 규모의 해킹 사고가 발생하며 업계가 술렁이고 있다. 금융업계에 따르면 27일 오후 4시 40분경, 업비트가 보유하던 솔라나(SOL)를 비롯해 오피셜트럼프(Trump), 지토(JTO), 솔레이어(SRLY) 등 여러 솔라나 계열 가상자산이 외부의 정체불명 지갑으로 대량 전송됐다. 업비트는 사고 직후 모든 가상자산 입출금을 중단하고, 원화 입출금만 제한적으로 허용하는 비상 조치를 취했다. 거래소 측은 “고객 자산 피해를 막기 위한 즉각적인 조치였다”고 설명했다.

■ 6년 전 업비트 580억 탈취한 라자루스, 또다시 유력 용의자

이번 사고의 배후로 북한 정찰총국 산하 해킹 조직 ‘라자루스(Lazarus)’가 지목되고 있다. 당국이 이들을 가장 유력한 원흉으로 보고 있는 이유는 과거 해킹과 수법이 완전히 동일하기 때문이다.

라자루스는 이미 2019년 업비트에서 약 580억 원 규모의 이더리움(약 34만 2,000개)을 탈취한 전력이 있다. 당시 피해 규모는 현재 시세로 환산하면 1조 5,000억 원을 넘어서는 수준이다. 또한 경찰청 국가수사본부는 지난해, 2018년 업비트 해킹 사건에도 라자루스와 북한 조직 ‘안다리엘’이 가담했다고 결론내린 바 있어 연속적인 범행 패턴이 확인되고 있다.

■ 6년 전과 같은 날짜·같은 수법…북한 특유의 ‘상징적 일정 선택’?

이번에도 범행은 업비트의 ‘핫월렛(hot wallet)’을 노리는 방식으로 이뤄졌다. 핫월렛은 거래소가 고객 매매를 즉시 처리하기 위해 인터넷과 연결된 상태로 운영하는 지갑이다. 온라인에 연결되어 있는 만큼 전 세계 해킹 시도에 노출될 가능성이 크며, 라자루스는 수년간 바로 이 지점을 공략해 왔다.

흥미로운 점은 범행 날짜 역시 6년 전 업비트 해킹과 동일한 시기라는 점이다. 더구나 사건 당일은 업비트 운영사 두나무가 네이버와 주식 교환을 발표한 날이기도 하다. 업계에서는 이 같은 패턴이 북한의 “상징적 일정 선택” 또는 “선전 효과”를 노린 의도적 전략과 일치한다고 보고 있다.

■ 금융당국·KISA 총력 점검…업비트 “고객 피해 전액 보전”

사고가 알려지자 금융감독원(FSS)과 금융보안원(FSIS)이 즉각 현장 점검에 착수했다. 또한 한국인터넷진흥원(KISA)도 대응 인력을 파견해 조사를 지원하고 있는 상황이다.

업비트 관계자는 “고객 자산은 업비트 보유 자산으로 전액 보전할 계획”이라며 “앞으로 모든 자산에 대해 더욱 강화된 보안 절차를 도입해 점검 중”이라고 밝혔다. 현재 거래소는 보안 사고의 원인을 파악하는 동시에, 핫월렛·콜드월렛 운영 정책을 개선하는 방향으로 내부 시스템을 재정비하고 있다.

■ 라자루스의 글로벌 범죄, 올해만 수조 원 규모

라자루스는 단순히 한국만 공격하는 것이 아니다. 올해 초에는 글로벌 2위 가상자산 거래소인 바이비트(Bybit)에서 약 14억 6,000만 달러(약 2조 1,000억 원) 상당의 자산을 탈취한 사건이 국제적으로 큰 충격을 주었다. 더욱 심각한 점은 피해 사실이 공개된 지 약 20일 만에 3억 달러 이상이 이미 현금화되었다는 분석이 나왔다는 것이다.

올해 5월에도 대만 거래소 비토프로(BitoPro)에서 158억 원 규모의 자산을 탈취하는 등, 라자루스의 공격은 국가 간 경계를 가리지 않고 이어지고 있다.

■ 가상자산 보안 강화는 선택이 아닌 필수

이번 사건은 가상자산 시장이 여전히 보안 리스크에 취약하다는 사실을 다시 한번 증명했다. 특히 핫월렛 운영 방식과 보안 정책의 중요성이 재차 부각되며, 거래소와 이용자 모두 보다 철저한 보안 의식이 요구되고 있다.

정부와 업계는 이번 사건을 계기로 국가 기반의 해킹 조직에 대응하기 위한 기술적·제도적 보안 체계 강화가 필요하다고 입을 모으고 있다. 가상자산 시장 규모가 커질수록 해킹 조직의 공격도 지능화·대형화되고 있는 만큼, 거래소별 보안 수준의 격차를 줄이고 공동 대응 체계를 마련하는 것이 시급한 과제라는 평가가 나온다.