국내 가상자산 거래소 업비트에서 445억원 상당의 자산이 빠져나간 사건을 둘러싸고 북한 정찰총국 산하 해킹 조직 라자루스가 유력 배후로 지목된 가운데, 지난 1년간 이 조직이 최소 31건의 공격을 벌인 것으로 나타났다. 기존 라자루스의 침투 방식과 이번 사고의 정황이 상당 부분 부합하면서 정부도 관련성을 면밀히 들여다보고 있다. 30일 정보통신기술(ICT) 업계에 따르면 안랩은 최근 발간한 '2025년 사이버 위협 동향 & 2026년 보안 전망' 보고서에서 지난해 10월부터 올해 9월까지 공개된 지능형 지속 공격(APT) 사례를 분석한 결과 라자루스가 31건으로 가장 많이 언급됐다고 밝혔다. 북한 정찰총국 산하의 또 다른 조직인 김수키(Kimsuky) 역시 27건을 기록해 두 조직만 58건에 달했다. 같은 기간 국가별 활동 건수도 북한이 86건으로 1위를 차지했으며 중국(27건), 러시아·인도(각 18건) 등이 뒤를 이었다. APT는 국가 단위의 지원을 기반으로 특정 산업이나 국가를 장기간 추적하며 침투하는 고도화된 공격을 의미한다. 안랩은 “이들 조직은 노출을 피하기 위해 은밀하게 움직이기 때문에 실제 공격 건수는 더 많을 가능성이 크다"며 일부 정부·공공기관 사례는 공개되지 않는 경우도 있다고 설명했다. 보고서에 따르면 라자루스는 최근 공격 대상을 가상자산·금융·정보기술(IT)·국방 등으로 확대하며 멀티 플랫폼 기반 악성코드를 적극 활용하고 있다. 맥OS와 리눅스 환경까지 지원하는 악성코드는 클립보드 감시, 암호화폐 지갑 정보 탈취 등 기능을 포함하고 있으며, 한국에서는 '오퍼레이션 싱크홀(Operation SyncHole)'로 불리는 취약점 악용 공격을 통해 IT·소프트웨어(SW)·금융 기업 등 최소 6개 조직을 노린 정황이 파악됐다. 정상 웹사이트에 악성 스크립트를 삽입해 방문만으로 감염이 이뤄지도록 하는 워터링홀 방식이 활용된 것으로 알려졌다. 업계는 최근 업비트 해킹에서도 라자루스의 기존 수법과 맞닿아 있는 요소가 반복적으로 포착된다고 보고 있다. 지갑 서명 절차 변조, 주소 교체형 악성코드, 다중 인증(MFA) 우회, 공급망 침투 등 라자루스가 해외 거래소 공격에 사용해온 방식과 유사한 흔적이 발견됐으며, 서명 과정에서 비정상적 조작이 발생한 직후 대규모 이체가 집행된 점, 이체 경로를 여러 지갑으로 분산한 방식 등도 기존 패턴과 일치한다는 평가다. 이에 정부도 라자루스를 핵심 용의선으로 두고 분석을 진행 중이다. 북한의 또 다른 대표 조직인 김수키는 사회공학 기반 스피어 피싱을 지속적으로 활용하고 있다. 김수키는 강연 요청서·인터뷰 제안 등을 사칭한 문서를 보내 악성 파일을 유포하는 방식으로 공격을 감행했으며, 러시아 도메인(mail.ru)이나 '내도메인.한국' 같은 한글 무료 도메인을 활용해 발신지를 숨기는 기법도 자주 쓰였다. ISO 파일과 한글 문서를 악용한 침투 역시 빈번하게 확인됐다. 김수키는 페이스북·텔레그램 등 소셜 플랫폼을 통한 다단계 공격도 확대하고 있으며, 최근에는 AI로 위조한 신분증을 이용한 정황도 보고됐다. 하위 조직 'Larva-24005'는 키 입력 탈취 기능을, 'Larva-24009'는 한국 이용자 대상 링크 기반 공격을 수행한 것으로 분석됐다. 이 밖에도 안다리엘(Andariel), 코니(Konni), TA-RedAnt 등 북한 연계 APT 조직들이 국내 금융·IT·공공 분야 전반에서 공격을 이어간 것으로 나타났다. 안랩은 “서비스형 랜섬웨어(RaaS) 같은 공격 생태계와 고도화된 침투 기술이 결합할 경우 피해 확산 속도가 더욱 빨라질 수 있다"며 “국제 제재를 받는 국가가 수익 확보 차원에서 사이버 공격을 활용할 가능성도 커지고 있다"고 경고했다. 보고서는 “북한 APT 조직은 가상자산 탈취에 특화된 악성코드를 지속적으로 개발하고 있으며, 디지털 의존도가 높은 한국은 앞으로도 집중 공격 대상이 될 가능성이 높다"고 분석했다. 장하은 기자 lamen910@ekn.kr

2025-11-30 10:05 장하은 기자 lamen910@ekn.kr

국내 가상자산 거래소 1, 2위인 업비트와 빗썸이 잇따라 악재에 직면했다. 업비트는 대규모 해킹 피해로 보안 리스크가 부각됐고, 빗썸은 해외 거래소와 오더북 공유를 둘러싸고 금융당국의 고강도 조사에 맞닥뜨렸다. 업계에서는 업비트(두나무)와 빗썸이 각각 추진 중인 기업 결합과 상장(IPO) 계획에도 변수가 될 수 있다는 관측이 나온다. 30일 가상자산업계에 따르면, 업비트에서 27일 새벽 4시42분경 445억원 규모의 코인을 도둑맞는 사건이 발생했다. 금융감독원과 한국인터넷진흥원(KISA)은 즉각 현장 조사에 착수했다. 정부 당국은 해킹 패턴과 정황을 토대로 북한 정찰총국 산하 해킹조직 '라자루스'의 소행 가능성을 염두에 두고 조사 중인 것으로 알려졌다. 업비트 운영사 두나무는 일부 솔라나 네트워크 계열 디지털자산에서 비정상적인 출금 행위가 탐지됐다고 27일 낮 12시 33분에 공지했다. 솔라나 네트워크 계열 디지털자산은 블록체인 플랫폼 '솔라나'를 기반으로 발행된 토큰을 말한다. 구체적으로 시가총액 6위인 솔라나와 7위 USD코인(USDC)을 비롯해 오피셜트럼프(TRUMP), 펏지펭귄(PENGU), 오르카(ORCA) 등 24개 가상자산이 담긴 핫월렛(Hot Wallet)에서 비정상적인 출금이 감지됐다. 핫월렛(Hot Wallet)은 온라인 상태의 지갑을 의미하며, 인터넷이 연결된 상태에서 거래 정보를 주고받을 수 있다. 이와 반대되는 개념인 콜드월렛(Cold Wallet)은 오프라인 상태의 지갑으로 인터넷과 단절된 장치에 만들어진다. 박춘식 전 아주대 사이버보안학과 교수는 현장 조사를 해봐야 알 수 있다면서도 “가상자산 거래소에는 내부망도 많이 있다"며 “만약 서버가 해킹되면 전자지갑 정보나 고객 정보, 코인 정보 등 여러 정보를 해킹해서 코인을 탈취할 수 있다"고 말했다. 해커는 업비트의 핫월렛에서 코인을 빼돌린 뒤 수십 개 지갑으로 자산을 쪼개 전송하고 쪼개진 자금 일부는 허브 역할을 하는 중간 지갑에 다시 모았다. 빼돌린 코인을 솔라나와 이더리움으로 일원화해 현금화를 준비하고 있는 것으로 알려진다. 박춘식 전 교수는 “탈취한 코인을 여러 곳으로 쪼개서 보내고 섞는 등 자금을 세탁하는 여러 방법이 있다"며 “그걸 추적하는 방법도 있긴 하지만 결국은 찾기가 어렵다"고 설명했다. 라자루스가 배후로 지목되는 이유로 해킹 수법이 과거 사례와 비슷하다는 점이 꼽힌다. 라자루스는 2022년 '엑시 인피니티'의 사이드체인 '로닌'을 해킹할 때 다수의 핫월렛에서 자산을 빼돌린 뒤 특정 지갑으로 모으고, 다시 여러 지갑으로 분산하는 방식을 사용했다. 업비트는 6년 전 같은 날인 2019년 11월 27일에 이더리움 34만2000여개(당시 시세 580억원)를 도둑맞는 사건을 겪었는데, 5년 뒤 경찰청은 북한 해킹조직 라자루스와 안다리엘 소행이라고 발표했다. 당시 탈취된 가상자산 절반 이상은 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3곳을 통해 시세보다 2.5% 싼 가격에 비트코인으로 바뀌었고, 나머지는 해외 51개 거래소로 분산 전송 후 자금을 세탁했다. 현장검사에 나선 금융당국은 말을 아끼고 있다. 금융감독원 관계자는 “현장 조사에 나선 건 맞다"면서 “해킹을 당했으니 내부 통제가 부족했던 점, 소비자 피해가 있는지 등을 보고 있다"고 말했다. 경찰청 국가수사본부 사이버테러수사대 또한 내사에 착수했다. 업비트는 “고객 자산에 어떤 피해도 발생하지 않도록 업비트 보유 자산으로 전액 보전할 예정"이라며 “나아가 모든 자산에 대해 더욱 강화된 보안 절차를 적용해 점검을 진행 중이다. 강화된 보안 체계를 바탕으로 안전한 서비스를 제공하기 위해 최선을 다하겠다"고 밝혔다. 빗썸은 전혀 다른 성격의 이슈로 규제당국의 압박을 받고 있다. 빗썸은 최근 호주 가상자산 거래소 스텔라(Stellar)와 진행해 온 스테이블코인 '테더(USDT)' 오더북(호가창) 공유를 전면 중단하기로 결정했다. 당초 빗썸은 글로벌 유동성 확대를 위해 지난 9월 스텔라와 오더북 연동을 추진해 왔다. 오더북 공유는 서로 다른 거래소의 매수·매도 주문 내역을 실시간으로 연동하는 방식이다. 빗썸 이용자가 올린 주문뿐만 아니라 제휴된 해외 거래소 이용자의 주문도 하나의 호가창에서 체결할 수 있다. 거래량이 부족한 신설 마켓에서 풍부한 유동성을 확보해 매수·매도 간 가격 차이를 줄이고 체결 속도를 높일 수 있다는 장점이 있다. 그러나 FIU가 지난달 1일부터 해당 건에 대해 현장 조사를 이어가면서 상황이 급변했다. FIU의 조사는 통상 1~2주가 일반적이지만, 이번 조사는 수차례 연장돼 이달 말까지 이어지고 있다. 금융당국은 해외 거래소와 오더북 공유를 자금세탁방지(AML) 우려에 따라 사실상 제한하고 있다. 해외 거래소가 국내 특정금융정보법 수준의 AML·고객신원확인(KYC) 체계를 갖추지 못할 가능성이 있기 때문이다. 특히 규제당국은 스테이블코인 테더 특성상 자금세탁 위험이 크다고 판단하고 있다. 테더는 가격 변동성이 낮아 자금이 동에 활용되기 쉽다. 반면 업계 일각에서는 “오더북 공유 자체는 글로벌 거래소 간 유동성 확보를 위한 일반적 협력 방식"이라는 의견도 제기된다. 업비트와 빗썸은 각각 보안 이슈와 규제 이슈라는 다른 성격의 도전에 직면했지만, 공통적으로는 사업 확장 국면에서 예상치 못한 리스크가 발생했다는 점에서 업계의 시선이 집중된다. 두나무는 네이버와 전략적 협력을 통해 기업 간 결합으로 시너지를 모색하던 중 해킹 사태를 맞았고, 빗썸은 내년 상반기 기업공개(IPO)를 목표로 하는데 금융당국의 현장 조사가 길어지면서 영향을 받을 가능성도 나온다. 가상자산 시장의 성장과 제도권 편입이 가속화되는 가운데, 대형 거래소들의 신뢰 확보는 필수 과제로 꼽힌다. 보안 강화와 리스크 관리 체계의 재정비가 시급하다는 지적이 나오는 이유다. 가상자산업계 관계자는 “국내 주요 거래소를 둘러싼 불확실성이 커지면 투자자 심리에도 영향을 줄 수 있다"며 “각 사가 위기 대응력을 입증해야 시장 신뢰가 유지될 것"이라고 말했다. 최태현 기자 cth@ekn.kr

2025-11-30 09:59 최태현 기자 cth@ekn.kr