국내 최대 가상화폐거래소인 업비트에서 발생한 445억 원 규모의 가상화폐 해킹 사건의 배후로 북한 정찰총국 산하 해킹 조직 라자루스가 거론되고 있다. 라자루스는 2014년 소니픽처스 해킹, 2017년 워너크라이 랜섬웨어 공격 등을 주도한 북한의 대표적인 해킹 조직이다.

28일 정보기술(IT) 업계와 정부 당국에 따르면 정부는 북한 정찰총국 소속 해킹 조직으로 알려진 라자루스가 최근 업비트 해킹을 벌였을 가능성이 크다고 판단하고 현장 점검을 진행하고 있다. 두나무는 전날 오전 4시 42분께 445억 원 상당의 솔라나 네트워크 계열 자산 일부가 내부에서 지정하지 않은 지갑 주소로 전송된 정황을 확인했다.

국제사회의 제재를 받고 있는 북한은 여러 해킹 조직을 이용해 가상화폐 탈취 목적의 해킹에 집중하고 있다. 라자루스는 2019년 업비트에서 580억 원 규모의 이더리움(ETH) 해킹 사건이 발생했을 때 배후로 지목됐다. 올해 2월 14억 6000만 달러 규모의 아랍에미리트 가상화폐거래소 바이비트 해킹 사건 역시 라자루스 소행으로 거론된다. 또 미국 법무부는 이달 14일(현지 시간) 북한 APT38이 2023년 가상화폐거래소 4곳에서 수백만 달러 규모의 가상화폐를 탈취했다고 밝혔다.

업비트는 가상화폐 해킹 사건이 발생한 27일 오전 8시 55분부터 현재까지 코인 입출금을 중단하고 있다. 원화 입출금과 거래소 내 코인 거래는 가능하다. 코인 입출금은 전반적인 보안 점검 후 지갑 시스템을 변경해 재개할 방침이다. 지난 2019년 11월 해킹 당시에는 비트코인을 시작으로 전체 코인 입출금이 재개되기까지 한 달 가량이 걸렸다.

해킹 사태가 장기화될 경우 일부 코인의 시세가 급변하거나 다른 거래소와의 시세 차이가 커질 우려가 있다. 실제 이날 업비트에서 오르카의 시세가 한때 93%까지 뛰어오르는 등 일부 알트코인에서 이상 급등이 나타나고 있다. 주기영 크립토퀀트 대표는 "코인 입출금을 중단하면서 차익거래 봇들이 활동을 못하자 개인 투자자들이 알트코인 펌핑에 열을 올리고 있는 것"이라고 분석했다. 이 같은 '가두리 펌핑'이 계속되면 코인 입출금 정상화 후 강한 조정이 불가피해 투자자들의 피해로 이어질 수 있다는 지적이다.

한편 국내 최대 가상화폐 거래소에서 해킹 사건이 발생하자 다른 거래소들에도 불안감이 번지고 있다. 업계의 한 관계자는 "자금력이 작은 중소 거래소는 보안 사고 위험도 더 높고 사고가 발생했을 때 그대로 이용자 자산 피해로 이어질 수 있다"고 말했다. 업비트는 이번 해킹으로 발생한 피해액 전액을 업비트 자산으로 보전하기로 했다.

박민주 기자,김정우 기자