[블록체인투데이 디지털뉴스팀] 국내 최대 가상자산 거래소 업비트가 해킹으로 솔라나 계열 가상자산 약 445억원어치를 탈취당한 가운데, 당국은 북한 소행일 가능성에 무게를 두고 조사에 나선 것으로 파악됐다고 뉴스1이 보도했다.
28일 당국 및 정보보안 업계에 따르면 전날 금융감독원과 한국인터넷진흥원(KISA)은 업비트 현장검사에 나섰으며 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성을 유력하게 열어두고 있다.
블록체인 업계에서도 북한 소행설이 제기되고 있다. 업계 내에서 라자루스 소행에 무게감이 실리는 이유는 크게 두 가지다.
이번 해킹이 △라자루스의 그간 가상자산 해킹 수법과 비슷한 패턴인 점 △해킹 날짜가 두나무(업비트 운영사)와 네이버의 기자회견일이자, 6년 전 업비트 해킹 날과 같은 점 등이다.
우선 라자루스의 가장 대표적인 해킹 사례로는 2022년 블록체인 게임 '엑시인피니티'의 사이드 블록체인 플랫폼인 '로닌(Ronin)'을 해킹한 사례가 있다. 당시 라자루스는 여러 개의 핫월렛에서 자산을 빼돌린 뒤 한 개의 지갑으로 모으고, 다시 여러 개의 지갑으로 흩뿌리는 방식을 사용했다.
이번 업비트 해킹에서 해커는 크게 두 가지 트랙으로 자금을 세탁 중이다. 우선 솔라나(SOL)는 업비트 솔라나 지갑 여러 개에서 자금을 빼낸 뒤, 한 개의 지갑으로 모으고 다시 여러 개의 지갑으로 흩뿌렸다. 흩뿌린 솔라나는 현재 세계 최대 가상자산 거래소인 바이낸스로 향한 상태다.
업비트가 공개한 지갑 주소 중에서도 솔라나 지갑 주소가 가장 많다. 즉, 해커가 업비트 솔라나 지갑 여러 개에서 자금을 빼냈다는 의미다.
솔라나 외 '솔라나 계열' 23종의 가상자산은 랩트솔라나(SOL)로 바꾸고, 이 중 일부는 이더리움(ETH)으로 전환하는 작업을 하고 있다. 랩트솔라나는 솔라나 블록체인 외 다른 블록체인을 기반으로 할 뿐 솔라나와 1:1로 연동되는 코인이다.
즉, 해커가 빼돌린 자금을 솔라나(SOL)와 이더리움(ETH)으로 일원화하고 있는 것이다. 탈취한 가상자산을 한 가지 코인으로 일원화하는 것은 통상 현금화를 위한 사전 작업이다.
가상자산 보안 기업 관계자는 "솔라나나 이더리움같이 시가총액 규모가 크고, 모든 거래소에 다 상장돼 있는 코인으로 일원화를 해야 훗날 현금화가 쉽다"며 "아마 솔라나 같은 대형 코인으로 일원화를 하고, 다시 '믹싱(가상자산을 여러 지갑으로 흩뿌리는 기법)'을 몇 번 한 뒤 현금화를 시도할 것"이라고 추측했다. 이어 "요즘 해커들은 아주 장기간에 걸쳐 현금화를 한다"고 말했다.
해커가 날짜를 지정한 것처럼 보이는 점도 북한 소행 가능성이 높은 이유로 지목된다.
업비트 해킹 사고가 발생한 11월 27일은 2019년 업비트 해킹이 발생한 날과 같은 날짜이자, 두나무와 네이버의 합동 기자회견이 있던 날이다. 2019년 업비트 해킹 역시 경찰 수사 결과 라자루스와 북한 해커 그룹 '안다리엘' 소행으로 드러난 바 있다.
다만 현장검사에 나선 KISA 및 금감원 측은 말을 아끼고 있다. KISA 관계자는 "아직 조사 중이고, 조사 중인 사안에 대해선 누구 소행인지 말씀드리기 어렵다"고 했다.
금감원 관계자는 "금융당국은 기본적으로 사업자의 건전성이나 이용자 보호 측면을 중심으로 점검한다"며 "해킹 원인도 규명하고 있지만 누구의 소행인지 파악하는 것은 KISA 측 관할 사항"이라고 말했다.
한편 스테이블코인 거래량이 기하급수적으로 늘어난 최근에는 반드시 현금화를 하지는 않을 것이란 추측도 나온다. 해커가 탈취한 자산을 솔라나, 이더리움 등으로 전환한 뒤 종국에는 스테이블코인으로 바꿀 것이란 추정이다.
위 보안 업체 관계자는 "최근 들어 스테이블코인이 전 세계에서 현금처럼 활용되고 있는 만큼, 과거와 다르게 굳이 현금화를 할 필요가 없어졌다"며 "현금화를 하려면 결국 마지막엔 중앙화 거래소를 통해야 하는데, 중앙화 거래소를 거치면 잡히거나 자산이 동결될 위험이 있으니 훔친 자금을 마지막에는 스테이블코인으로 갖고 있을 수도 있다"고 추측했다.
info@blockchaintoday.co.kr