업비트서 580억 빼 간 北해커, 국내 다단계 업체 이더리움 619억도 가로채

수수료 사고 ‘라자루스’ 개입 첫 확인

2019년 국내 대형 가상자산(암호화폐) 거래소인 업비트를 해킹해 580억원 규모의 암호화폐를 빼 간 것으로 지목된 북한 해커조직 라자루스가 지난해 6월 국내 불법 ‘P2P’(개인 간 투자 방식) 다단계 업체가 세탁하려던 암호화폐를 빼돌린 것으로 나타났다.

30일 블록체인 보안업체 웁살라시큐리티에 따르면 지난해 6월 ‘굿싸이클’이라는 불법 다단계 업체에서 발생한 이더리움 송금 수수료 사건에 연관된 지갑주소 중 하나(0x7438****…)가 2019년 업비트 탈취 사건에 연관된 지갑주소와 동일했다.

미국 정부는 지난해 8월 국토안보부(DHS) 산하 사이버·인프라안보국(CISA), 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관 공동 보고서에서 업비트 공격 배후로 라자루스를 지목했다.

지난해 6월 굿싸이클은 회원들의 이더리움을 송금하는 과정에서 2만 1337ETH(당시 시세 기준 약 619억원)가 수수료로 빠져나가는 사고를 겪었다. 당시 해커 공격으로 추정됐지만 라자루스가 개입된 건 이번에 처음 확인됐다.

박정섭 웁살라씨큐리티 연구원은 “이상 수수료가 발생한 과정에서 암호화폐의 자금세탁 기법인 ‘믹싱’ 흔적이 포착됐다”면서 “굿싸이클이 고객 암호화폐를 세탁하던 경로에 라자루스가 끼어든 것으로 본다”고 말했다. 굿싸이클은 지난해 해킹 사건 이후 대표가 잠적하고 운영이 중단된 것으로 알려졌다.

임종인 고려대 사이버국방학과 교수는 “북한 해커들이 국내 암호화폐 범죄자들의 불법 자금을 가로채는 방식을 새로운 수익 창출원으로 삼는 것 같다”고 말했다.

박재홍 기자 maeno@seoul.co.kr