[이코노믹데일리] 국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모의 가상자산 탈취 사건의 유력한 용의자로 북한 정찰총국 산하 해킹 조직 '라자루스(Lazarus)'가 지목됐다.
특히 이번 범행이 네이버파이낸셜과 두나무의 합병 발표 당일에 6년 전과 유사한 방식으로 이뤄졌다는 점에서 북한의 의도적인 '과시성 도발' 가능성에 무게가 실리고 있다.
28일 정보통신기술(ICT) 업계와 정부 당국에 따르면 관계 기관은 이번 해킹의 수법과 자금 이동 경로가 북한 라자루스의 패턴과 일치한다고 보고 정밀 조사를 진행 중이다.
◆ 6년 전 악몽의 재현…'핫월렛' 또 뚫렸나
라자루스는 지난 2019년 11월 업비트에서 580억원 규모의 이더리움을 탈취했던 주범이다. 당시에도 네트워크에 연결된 '핫월렛(Hot Wallet)'을 노렸는데 이번 솔라나 계열 자산 탈취 역시 핫월렛 관리자 권한을 탈취해 자금을 이체한 것으로 추정된다.
정부 관계자는 "서버에 대한 직접적인 디도스 공격보다는 관리자 계정을 탈취했거나 내부 관리자로 위장해 자금을 이체했을 가능성이 높다"며 "6년 전 해킹 방식과 매우 유사하다"고 분석했다.
보안 전문가들은 자금 세탁 과정에서도 라자루스의 흔적이 발견됐다고 지적한다. 한 보안 전문가는 "해킹 후 탈취 자산을 여러 거래소 지갑으로 전송(호핑)하고 자금 추적을 피하기 위해 쪼개고 섞는 '믹싱' 기술을 사용했다"며 "국제자금세탁방지기구(FATF) 가입국에서는 불가능한 고도화된 믹싱 수법은 북한의 전형적인 특징"이라고 설명했다.
라자루스는 올해 들어 전 세계 거래소를 휩쓸고 있다. 블록체인 분석 업체에 따르면 이들은 지난 2월 바이비트(2조원 규모), 5월 대만 비토프로(158억원 규모) 등을 잇달아 해킹하며 올해만 약 2조7000억원 상당의 가상자산을 탈취한 것으로 알려졌다.
◆ 합병 발표 날 '찬물'…의도된 타기팅인가
![국내 대표 플랫폼 네이버와 업비트 운영사 두나무가 '계열 통합 추진'에 따른 미래 청사진을 지난 27일 공식 발표했다. 네이버와 두나무는 이날 오전 경기 성남 네이버 제2사옥인 '네이버 1784'에서 공동 기자간담회를 갖었다. 사진은 경기도 성남시 네이버 본사 모습. [사진=연합뉴스]](https://image.ajunews.com/content/image/2025/11/28/20251128134308414790.jpg)
업계가 주목하는 또 다른 포인트는 범행 시점이다. 사고가 발생한 27일은 네이버파이낸셜과 두나무가 합병을 공식 선언하고 미래 비전을 발표하는 기자간담회가 열린 날이었다.
보안 전문가는 "해커들은 과시욕이 강한 특성이 있다"며 "한국 최대 핀테크 빅딜이 발표되는 날을 골라 보안을 뚫음으로써 자신들의 능력을 과시하고 혼란을 극대화하려 했을 가능성이 있다"고 추정했다.
이번 사태는 두나무의 보안 불감증을 적나라하게 보여준다. 2019년 대규모 해킹을 당하고도 6년 만에 동일한 취약점인 '핫월렛' 관리 부실로 또다시 뚫렸다는 점은 변명의 여지가 없다. 당시에는 관련 법안이 없어 제재를 피했지만 현재는 '가상자산이용자보호법'과 '특정금융정보법'이 시행 중이다.
금융위원회와 금융감독원은 이번 사고가 이용자 보호 의무 위반에 해당하는지 현미경 검증에 들어갔다. 지난해 12월 금융위가 가상자산 거래 정보를 '신용정보'로 유권해석함에 따라 개인정보 관리 소홀에 대한 책임도 물을 수 있게 됐다.
더 큰 문제는 이번 사고가 네이버와의 기업결합 심사에 미칠 악영향이다. 보안 리스크가 해소되지 않은 상황에서 국내 1위 플랫폼과 1위 거래소의 결합을 승인하는 것에 대해 공정위나 금융당국이 부담을 느낄 수밖에 없기 때문이다.
업비트 측은 "피해액 전액을 회사 자산으로 충당하겠다"며 진화에 나섰지만 돈으로 피해는 메울 수 있어도 한번 무너진 신뢰와 보안 시스템의 구멍은 돈으로 때울 수 없다는 비판이 거세다. '보안 없이 합병 없다'는 시장의 경고를 두나무 경영진이 얼마나 뼈아프게 받아들이느냐가 사태 수습의 관건이 될 전망이다.
댓글 더보기