지난해 11월 국내 가상자산거래소 업비트에서 발생한 445억원 규모 해킹 사고 이후 두 달째 해킹된 자산이 일부 가상자산 플랫폼에 머물러 있는 것으로 나타났다. 이들 자산은 플랫폼에서 자동으로 사용자 간 거래가 이뤄지고 있는데 이는 북한 등 범죄집단에서 주로 사용되는 자금세탁 방법이다. 업비트 내부 지갑인 핫월렛이 반복적으로 해킹집단에 뚫리면서 이에 대한 대책이 마련돼야 한다는 지적이다.
2일 가상자산업계에 따르면 업비트에서 빠져나간 가상자산은 현재 토네이도 캐시, 레일건 등 가상자산 플랫폼에 예치돼 있는 것으로 분석됐다. 이곳에 자산을 예치하면 시장조성자(AMM)로서 유동성을 공급하기 때문에 가상자산이 자동으로 교환된다. 이는 가상자산의 종류를 바꿔가면서 수사기관의 추격이나 동결을 막기 위한 자금세탁 초기 단계 작업이다. 해커는 탈취 자산을 현금화하는 본격적인 자금세탁까진 하고 있지 않는 것으로 파악됐다.
특히 토네이도 캐시 등은 북한 해킹그룹 라자루스가 자금세탁에 주로 사용하는 플랫폼으로 알려졌다.
지난해와 6년 전 발생한 업비트 해킹 사고 모두 거래소 핫월렛의 취약점을 보여줬다는 평가다.
가상자산 거래소는 고객 거래에 사용되는 가상자산을 네트워크와 연결된 핫월렛에 보관한다. 대부분의 가상자산은 네트워크가 연결되지 않은 콜드월렛에 보관하지만 고객 거래를 위해 핫월렛 보관은 불가피하다.
업비트 내부에서 핫월렛이 뚫린 순간 자금은 순식간에 빠져나갔다. 지난해 11월27일 오전 4시42분부터 15분 만에 80건에 가까운 대형 출금이 발생했고 핫월렛 잔고는 0이 됐다. 업비트는 출금을 즉시 중단했지만 이미 445억원 규모의 자산이 외부로 유출된 뒤였다. 업비트 내부에서는 핫월렛의 개인키가 유추되거나 노출됐을 가능성을 높게 보고 있는 것으로 전해졌다. 사실상 해당 자금을 회수하기는 불가능하다는 관측인데, 업비트는 이용자 피해 자산을 회사 돈으로 보전해야 했다. 황석진 동국대 국제정보보호대학원 교수는 “핫월렛 잔고의 상한선을 두거나 서명 인증체계를 강화해야 한다”며 “키 접근 권한을 분산하고 이상 거래가 발생했을 때 모니터링 체계를 강화해야 한다”고 지적했다.
경찰청 사이버테러수사대는 업비트에서 발생한 해킹 정황과 해커 등을 추적하고 있다. 경찰 관계자는 “침입경로와 자금흐름 등을 살펴보고 있다”며 “아직은 해킹 대상이 특정될 정도의 행위가 감지되지는 않았다”고 밝혔다.