핵심 요약
업비트에서 약 445억 원 규모의 가상자산이 외부 지갑으로 이동한 해킹 사건과 관련해, 수법과 시점이 과거 라자루스 공격과 유사하다는 분석이 나왔습니다. 당국은 북한 배후 가능성을 염두에 두고 조사에 착수했으며 업비트는 해당 지갑 시스템을 전면 점검했다고 밝혔습니다. 피해 규모는 20여 종의 가상자산에 이르며, 과거 6년 전 발생한 유사 사건과 비교해 추적·자금세탁 정황도 주목받고 있습니다.
핵심 사실
- 유출 규모: 업비트 지갑에서 외부 지갑으로 옮겨진 가상자산은 약 445억 원어치, 대상은 20여 종이다.
- 수법 특이점: 서버 직접 침투와 다른 방식의 ‘지갑 이동’이 활용돼 과거 공격과 유사한 패턴을 보였다.
- 과거 비교: 6년 전 같은 날 라자루스가 업비트에서 약 500억여 원을 해킹한 사례가 있다.
- 시점: 해킹 발생일은 네이버파이낸셜과 두나무(업비트 운영사) 합병이 공식화된 직후다.
- 당국 대응: 정부는 북한 소행 가능성을 포함해 수사와 현장 점검에 착수했다고 밝혔다.
- 업비트 조치: 회사는 사과문을 발표하고 문제가 된 지갑 시스템을 전면 점검·보완했다고 공지했다.
- 추적·세탁: 업계는 라자루스 연루 시 자금세탁을 신속히 진행했을 가능성이 크다고 분석한다.
사건 배경
가상자산 거래소의 보안 위협은 2010년대 후반부터 꾸준히 진화해 왔습니다. 거래소가 보유한 핫월렛과 콜드월렛, 그리고 지갑 간 전송 구조는 공격자에게 노출될 수 있는 여러 포인트를 제공합니다. 특히 대규모 출금이 발생하면 거래소는 자금 흐름을 차단하고 유출 경로를 추적하는 데 시간이 걸립니다. 이번 사건은 ‘지갑 이동’ 방식이 사용돼 기존의 서버 직접 공격과는 다른 대응을 요구합니다.
북한 정찰총국 산하로 알려진 라자루스 그룹은 지난 6년 전에도 업비트와 연관된 대규모 해킹을 저지른 전력이 있어 관련 업계·학계의 주목을 받아 왔습니다. 라자루스는 외화 조달을 위한 사이버 공격을 지속해 왔고, 국제 제재 상황에서도 자금 확보 수단으로 해킹을 활용했다는 분석이 있습니다. 이해관계자로는 거래소 운영사(두나무), 이용자, 금융당국 및 사이버수사기관이 있다.
주요 사건 전개
사건은 업비트 내부 지갑에서 외부 지갑으로 다종의 가상자산이 이체되며 발견됐습니다. 거래소 측의 모니터링으로 비정상 출금이 확인된 이후 즉시 일부 조치가 이뤄졌으나, 이미 대규모 자산이 빠져나간 상태였습니다. 업비트는 문제의 지갑 시스템을 전면 점검하고 보완 조치를 발표했으나, 구체적 침해 경로와 책임 소재는 아직 공개되지 않았습니다.
전문가들은 공격 패턴과 시점이 과거 라자루스의 공격과 유사하다고 지적합니다. 특히 해킹 발생 시점이 합병 공식화 직후라는 점에서 ‘심리적·정치적 메시지’ 가능성도 거론됩니다. 수사 당국은 로그와 트래픽, 오프체인 자금흐름을 추적하는 한편 국제 공조를 통해 자금세탁 경로를 좁혀나가고 있습니다.
업계 내부에서는 자금 회수 가능성은 낮지만, 범죄자 지갑을 끝까지 추적해 거래소·브로커를 통한 자금 이동을 봉쇄하려는 시도가 계속될 것으로 예상합니다. 동시에 거래소는 고객 자산 보호를 위한 보안 강화 및 보상 정책 검토에 착수했습니다.
분석 및 의미
첫째, 이번 사건은 가상자산 보관 구조의 취약성을 다시 드러냈습니다. 핫월렛과 스마트컨트랙트·멀티시그 체계 간 연동에서 발생하는 위험은 기술적·운영적 통제가 병행되지 않으면 재발하기 쉽습니다. 거래소는 기술적 방어뿐 아니라 운영·관리 프로세스 개선이 시급합니다.
둘째, 라자루스 같은 국가 연계 해킹조직이 개입됐을 가능성은 국제정치적 리스크를 동반합니다. 국가가 배후인 경우 수사·추적 과정에서 외교적 조치와 국제 공조가 병행되어야 하며, 자금 회수·법적 책임 규명은 더욱 복잡해집니다. 국내 거래소의 시스템 보안은 글로벌 표준과의 연계 강화가 요구됩니다.
셋째, 금융시장 파급력도 무시할 수 없습니다. 대형 거래소의 신뢰도 훼손은 투자자 심리 악화와 거래량 감소로 이어질 수 있으며, 합병 등 기업 주도 구조조정에도 영향을 미칩니다. 규제당국은 거래소의 경영·보안 감독을 강화하고 투자자 보호 장치를 보완해야 할 필요가 커졌습니다.
비교 및 데이터
| 연도 | 추정 유출액 | 주요 수법 | 비고 |
|---|---|---|---|
| 2019 | 약 500억 원 | 지갑·자금 이체 방식 | 라자루스 연루 의혹 |
| 2025 | 약 445억 원 | 지갑에서 외부 지갑으로 다종 이체 | 유사 수법·시점 일치 |
위 표는 6년 전과 이번 사건의 주요 수치와 수법을 단순 비교한 것으로, 금액과 수법에서 유사성이 관찰됩니다. 다만 동일한 공격자라는 결론은 추가적인 기술적 증거(암호화 키, 지갑 주소 패턴, 침투 경로 증거 등)가 확인돼야 입증됩니다. 비교는 수사 진행 상황과 국제 분석 결과에 따라 수정될 수 있습니다.
반응 및 인용
“조직적이며 전문적인 접근 방식이 확인되면 몇몇 조직 외에는 설명하기 어렵다.”
동국대 국제정보보호대학원 황석진 교수(전문가 분석 요지)
황 교수의 발언은 공격의 전문성·조직성을 강조한 것으로, 라자루스 등 국가 연계 조직 가능성을 시사합니다. 다만 발언 자체는 수사 결과를 전제로 한 해석임을 명시해야 합니다.
“고객 자산 보호를 최우선으로 문제 지갑을 전면 점검하고 보완조치를 시행했다.”
업비트(회사 발표 요지, 공식)
업비트 측은 사과와 함께 시스템 점검을 공지했으나 침해 경로의 상세 내용은 공개하지 않았습니다. 이용자 보상·책임 범위 등은 향후 추가 공지가 필요합니다.
“현재로서는 북한 연계 가능성도 배제하지 않고 면밀히 조사하고 있다.”
정부 관계자(공식 입장 요지)
정부의 공식 입장은 수사 진행 중이라는 점을 재확인하는 수준이며, 결과에 따라 추가 조치와 국제 공조가 예상됩니다.
불확실한 부분
- 라자루스의 직접 개입 여부는 현재 수사 단계로, 명확히 입증된 증거는 공개되지 않았다.
- 자금세탁 경로와 최종 자금 수령 주체는 아직 확인되지 않아 회수 가능성은 불확실하다.
- 합병 이슈와 해킹 시점의 연관성은 상관관계 수준으로, 의도적 시점 선택 여부는 추가 조사 대상이다.
총평
이번 사건은 기술적 취약성과 운영 리스크가 결합했을 때 발생하는 대형 사고의 전형을 보여줍니다. 445억 원 규모의 유출과 과거 유사 사건의 반복은 거래소 보안 수준과 규제 감독의 강화를 요구하는 신호입니다. 수사가 진행돼 배후와 침투 경로가 명확해지면 실무적·정책적 대응 방향이 구체화될 것입니다.
독자는 향후 수사 결과와 거래소의 보상·보완 조치에 주목해야 합니다. 동시에 투자자들은 거래소별 자산 보관 방식과 보험·보상 제도를 확인하고, 분산 보관 등 자기 방어 수단을 점검할 필요가 있습니다.