업비트에서 400억원대에 달하는 가상자산이 유출되는 대형 해킹 사고가 발생했다. 북한의 해킹 조직인 라자루스의 소행으로 예측되는 가운데, 해킹조직에 업비트에 대한 해킹을 감행한 27일은 6년전 라자루스가 업비트를 해킹한 날과 같고, 업비트가 네이버와의 합병을 공식화한 날이라는 점이 주목된다. 전문가들은 해커들의 과시욕으로 인해 날짜를 택했을 가능성을 높게 보고 있다.

◆11월27일 해킹 감행한 라자루스

28일 금융투자업계에 따르면 업비트에서 해킹 사고가 발생한 것은 이번이 두 번째다. 정확히 6년 전인 2019년 11월 27일에도 업비트에서 580억원 규모의 이더리움이 탈취됐다. 당시에도 핫월렛에 있던 자산을 모두 콜드월렛으로 옮기고 회사 자산으로 피해액을 메웠다. 수사 결과 경찰청 국가수사본부는 북한 정찰총국 산하 해킹조직 ‘라자루스’와 ‘안다리엘’ 소행으로 판단했다.

이번 해킹사고의 배후에도 라자루스가 유력하게 지목되고 있다. 정부는 서버 공격보다는 관리자 계정을 탈취했거나 관리자인 척해서 자금 이체를 했을 가능성을 높게 보고 있다.

해킹 후 다른 거래소 지갑으로 호핑(전송)한 뒤 믹싱(자금세탁)이 발생했는데 이를 라자루스 조직의 수법으로 볼 수 있다는게 보안업계의 평가다. 믹싱이 이뤄질 경우 거래가 추적이 불가능한데 국제자금세탁방지기구(FATF)에 가입된 국가들은 믹싱이 불가능한 만큼 북한의 소행일 가능성이 높다는 것이다.

여기에 이번 사고가 공교롭게도 네이버파이낸셜과 두나무의 합병 관련 기자간담회 당일인 지난 27일에 발생한 점도 북한 소행일 가능성에 힘을 싣고 있다. 또 공교롭게도 이날은 6년 전 해킹을 당한 날과도 같은 날이다. 한 보안 전문가는 “해커들의 경우 과시욕이 강한 특성이 있다”라며 “우리가 합병 당일을 선택한다는 과시욕에서 27일을 해킹 날짜로 선택했을 가능성이 있다”고 추정했다.

27일 서울 강남구 업비트 고객센터. 뉴시스

◆늑장대응 논란에 ‘가두리 펌핑’ 현상도

오경석 두나무 대표는 전날 오후 12시 33분 공지를 통해 “오전 4시42분쯤 솔라나 네트워크 계열 자산 일부가 알 수 없는 외부 지갑으로 전송된 정황을 확인했다”며 “회원 자산에 피해가 발생하지 않도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이와 관련 금융감독원은 현장 점검에 착수했고 경찰청 국가수사본부 사이버테러수사대도 입건 전 조사에 나섰다.

이번 사고로 블록체인 플랫폼 ‘솔라나’를 기반으로 발행된 토큰 445억원 상당이 유출된 것으로 파악됐다. 당초 피해액은 540억원으로 추산됐지만, 오전 4시42분 기준 시세를 적용해 445억원으로 조정됐다.

늑장 대응 논란도 일고 있다. 업비트는 해킹을 탐지한 지 7시간이나 지난 시점에 투자자들에게 해당 사실을 공지했다. 일각에선 이날 네이버와 두나무의 합병 행사로 인해 고의로 피해사실을 늦게 알린것 아니냐는 지적도 나온다. 여기에 이번 해킹피해로 인해 관련 가상자산 가격이 급등하면서 글로벌 가상자산시장에서의 가격과 괴리가 크게 나타났다는 점도 논란이다. 전날 오후 5시 17분 현재 업비트에서 오르카(ORCA)는 전일 대비 두배 가까이 급등한 3196원에 거래됐고, 메테오레와 레이디움도 각각 84.23%, 41.95% 뛰었다. 같은 기간 시가총액 1·2위인 비트코인(0.76%), 이더리움(-0.13%) 상승 폭을 압도했다.