[서울=뉴스핌] 박우진 기자 = 국내 가상 자산 거래소에서 보관하던 580억 원 상당의 가상 자산이 탈취된 사건이 북한 소행임이 밝혀졌다. 국내 수사 기관이 북한 소행의 가상 자산 탈취 사례를 밝혀낸 것은 이번이 처음이다.

경찰청 국가수사본부는 2019년 11월 A 가상 자산 거래소에서 보관 중이던 이더리움 34만2000개(당시 시세 약 580억 원)가 탈취된 사건을 북한 소행으로 판단했다고 21일 밝혔다.

가상 자산 거래소를 대상으로 한 사이버 공격이 북한 소행임을 국내 수사 기관이 공식적으로 밝혀낸 것은 이번이 처음이다. 이 사건은 북한 정찰총국 산하 해커 그룹인 '라자루스'와 '안다리엘'이 연루된 것으로 알려졌다. 

그동안 북한이 가상 자산 거래소에 대한 사이버 공격으로 가상 자산을 탈취해 핵, 미사일 개발에 사용한다는 유엔 보고서나 외국 정부의 발표는 있었다.

경찰은 수사를 통해 확보한 북한 IP 주소와 가상 자산 흐름, 북한 어휘 사용 내용 등 증거와 장기간에 걸쳐 미국 연방 수사국(FBI) 공조로 취득한 자료를 종합해 2022년 연말쯤 북한 소행으로 특정했다.

北 소행 가상자산 탈취 사건 개요도 [자료=경찰청]

북한이 탈취한 가상 자산의 57%는 가상 자산 교환 사이트 3곳을 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌었다. 나머지는 미국, 중국, 홍콩 등 13개국 51개 해외 거래소로 분산 전송 후 세탁됐다. 

경찰은 피해 가상 자산 중 일부가 비트코인으로 바뀌어 스위스에 있는 가상 자산 거래소에 보관된 사실을 확인했다. 스위스 검찰에 해당 가상 자산이 한국 거래소에서 탈취당한 것의 일부라는 점을 증명했다.

수차례 걸쳐 화상 전화 회의와 스위스 연방검찰청 방문 등으로 피해 자산 환수를 위한 노력을 기울이면서 대한민국 검찰청, 법무부와 협력해 양국 간 형사사법 공조를 4년여간 진행해왔다.

그 결과 피해 가상 자산 중 일부는 지난 10월 4.8비트코인(약 6억 원)을 환수해 A 거래소에 돌려줬다.

수사 과정에서 확인한 가상 자산 거래소에 대한 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상 자산 거래소 관계자들과 공유했다. 향후 유사한 범행을 탐지하거나 피해를 예방하는 데 활용하도록 했다.

경찰은 다수 관계 기관과 장기간에 걸쳐 유기적인 협력을 통해 창출해낸 성과로 향후 국내외 관계 기관과의 협력 체계를 더욱 굳건히 하고, 사이버 공격에 대한 범행 방법과 주체 규명은 물론, 피해 예방과 회복에도 최선을 다해 나갈 방침이다.

krawjp@newspim.com