북한이 지난 3월 이후 유럽의 무인기(드론) 관련 기업 3개 사를 상대로 사이버 공격을 한 것으로 전해졌다. 교도통신은 22일 슬로바키아의 IT보안업체 이셋(ESET)을 인용해 북한의 사이버 공격 표적은 우크라이나군이 무기로 사용하는 무인기의 부품 제조와 소프트웨어 관련 기업들이었다고 밝혔다. 통신은 공격에 사용된 악성 프로그램을 분석한 결과 과거 북한 정찰총국 산하 해킹그룹으로 알려진 라자루스가 사용한 공격 기법과 유사했다고 덧붙였다. 교도통신은 “드론 개발에 관한 기밀 정보를 훔치는 것이 목적이었을 가능성이 크다”고 전했다. 이와 관련해 군사 기술에 정통한 사토 헤이고 일본 다쿠쇼쿠대 교수는 “북한이 무인기 중요성을 인식하고 무기 현대화를 서두르는 것으로 보인다”고 말했다. 이런 가운데 북한이 러시아의 드론 생산 현장에 군 기술병과 군수 공장 숙련공을 대규모로 파견하기 위한 작업을 진행 중인 것으로 전해졌다. 앞서 우크라이나 국방부 정보총국은 지난달 14일(현지시간) 텔레그램 메시지를 통해 러시아가 자폭형 드론을 생산하기 위해 올해 연말까지 북한 인력 1만 2000명을 모스크바 동쪽 타타르스탄의 알라부에가 경제 특구에 유치할 계획이라고 밝혔다. 한편, 북한은 올해 전 세계를 상대로 가상자산(코인) 해킹으로만 약 15억 달러(약 2조 2100억원) 상당을 탈취한 것으로 전해졌다.

안랩 ‘2025년 사이버 위협 동향’ 북한 배후의 해킹 조직들이 인공지능(AI) 기술까지 동원해 한국 정부·IT·금융 등 핵심 분야를 상대로 전방위적인 사이버 공격을 강화하고 있는 것으로 나타났다. 악성 문서 제작과 피싱 위장 수법이 생성형 AI를 만나 한층 정교해지면서 기존의 패턴 기반 방어 체계를 우회하는 사례가 빠르게 늘고 있다는 분석이다. 30일 안랩이 발간한 ‘2025년 사이버 위협 동향 & 2026년 보안 전망’ 보고서에 따르면, 지난해 10월부터 올 9월까지 1년 동안 북한 배후로 지목된 지능형 해킹(APT) 활동은 총 86건으로 집계됐다. 같은 기간 중국(27건), 러시아·인도(각 18건) 등 다른 국가들과 비교해도 압도적으로 많은 수치다. 정부기관과 금융회사, IT 기업, 언론사 등 다수의 국내 기관과 기업이 연중 지속적으로 표적이 된 것으로 조사됐다. 주요 공격세력으로는 북한 정찰총국과 연계된 라자루스(Lazarus·31건), 김수키(Kimsuky·27건), 안다리엘(Andariel) 등이 확인됐다. 각각의 조직은 고유한 전술로 침투를 시도해왔다. 라자루스는 암호화폐 탈취를 비롯한 금전적 목적의 공격에 집중하며, 윈도·맥·리눅스 등 다양한 운영체제를 지원하는 멀티 플랫폼 악성코드를 개발해 활용하는 것으로 나타났다. 정상 웹사이트에 악성코드를 심어 감염을 유도하는 ‘워터링 홀’ 기법, 소프트웨어 취약점 악용 등이 대표적이다. 최근 가상자산거래소 업비트 해킹 사건에서도 라자루스의 기존 수법과 유사한 정황이 다수 포착된 것으로 전해졌다. 김수키는 특정 인물이나 기관을 정밀하게 겨냥한 스피어 피싱을 주력으로 한다. 강연 요청서나 인터뷰 의뢰서를 사칭해 실제와 거의 동일한 형태의 악성 문서를 보내는 방식이 반복적으로 확인됐다. 최근에는 페이스북·텔레그램 등 다양한 플랫폼을 활용한 다단계 공격을 시도하는가 하면, AI 기반 위조 신분증까지 사용한 사례도 포착되는 등 사회공학적 기법이 한층 고도화하고 있다. 안다리엘은 계정 정보 탈취와 랜섬웨어 배포가 주력 분야로, 국내 보안업체의 인증서를 훔쳐 악성코드에 서명하는 방식까지 활용한 것으로 조사됐다. 공격 전반에서 공통적으로 드러나는 가장 큰 변화는 ‘AI 활용’이다. 생성형 AI가 악성 문서 작성과 피싱 메시지 구성에 적극 활용되면서 한국어 문장과 문서 형식이 실제 업무 문서와 거의 구분되지 않을 정도로 자연스럽게 만들어지고 있다. 이 때문에 제목·문체 등으로 악성 파일을 판별하던 기존 탐지 체계가 무력화되는 사례가 늘고 있다. 자동화 도구를 이용한 악성코드 변종 생산 속도도 빨라져 단일 방어 체계만으로는 대응이 쉽지 않다는 것이 전문가들의 지적이다. 이에 국내 기업과 기관들은 보안 체계를 재정비하고 있다. 위험도가 높은 첨부파일을 자동 분석하는 ‘메일 샌드박스’ 도입이 확대되는 한편, 계정 탈취를 막기 위한 다중 인증(MFA) 적용 범위도 넓어지고 있다. 정부와 민간은 위협 정보 공유 체계를 세분화하고 분야별 대응 매뉴얼을 보완하는 등 다층 방어망 구축에 속도를 내고 있다.

국내 최대 가상자산(암호화폐) 거래소 업비트에서 445억원 규모의 디지털자산이 해킹으로 탈취되는 사고가 발생했다. 해당 자산은 세게 최대 가상자산 거래소인 바이낸스로 이동됐다는 정황이 보고 됐다. 사고 인지부터 공지까지 약 8시간이 소요되면서 ‘늑장 대응’ 논란도 제기됐다. 오경석 두나무 대표이사는 27일 오후 12시 33분 공지를 통해 “오전 4시 42분쯤 솔라나 네트워크 계열 자산 일부가 알 수 없는 외부 지갑으로 전송된 정황을 확인했다”며 “회원 자산에 피해가 발생하지 않도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이와 관련 금융감독원은 현장 점검에 착수했고 경찰청 국가수사본부 사이버테러수사대도 입건 전 조사에 나섰다. 이번 사고로 블록체인 플랫폼 ‘솔라나’를 기반으로 발행된 토큰 445억원 상당이 유출된 것으로 파악됐다. 당초 피해액은 540억원으로 추산됐으나, 오전 4시 42분 기준 시세를 적용해 445억원으로 조정됐다. 가상자산추적분석 전문기업 클로인트는 조사 결과 유출된 자산이 다수의 중개 지갑으로 분산된 뒤 대부분이 바이낸스로 빠져나간 흐름을 포착했다고 밝혔다. 전형적인 자금 세탁 수법이다. 업비트에서 해킹 사고가 발생한 것은 이번이 두 번째다. 정확히 6년 전인 2019년 11월 27일에도 업비트에서 580억원 규모의 이더리움이 탈취됐다. 당시에도 핫월렛에 있던 자산을 모두 콜드월렛으로 옮기고 회사 자산으로 피해액을 메웠다. 수사 결과 경찰청 국가수사본부는 북한 정찰총국 산하 해킹조직 ‘라자루스’와 ‘안다리엘’ 소행으로 판단했다. 한편, 이번 해킹 여파로 관련 가상자산 가격이 급등, 해외와 가격 괴리가 크게 나타나는 ‘가두리 펌핑’ 현상도 나타났다. 대표적으로 이날 오후 5시 17분 현재 업비트에서 오르카(ORCA)는 전일 대비 두배 가까이 급등한 3196원에 거래되고 있다. 메테오레와 레이디움도 각각 84.23%, 41.95% 뛰었다. 같은 기간 시가총액 1·2위인 비트코인(0.76%), 이더리움(-0.13%) 상승 폭을 압도한다.

가상자산 거래소 업비트가 27일 새벽 약 445억 원 규모의 디지털 자산 해킹 피해를 입었다. 이 사고는 두나무와 네이버파이낸셜의 합병 기자간담회가 열린 당일에 발생했다. 새벽 4시 42분, ‘비정상 이체’ 포착…540억→445억 정정 업비트 운영사 두나무는 즉시 솔라나 네트워크 기반 입출금 서비스를 전면 중단하고 긴급 보안 점검에 들어갔다. 두나무는 “이날 오전 4시 42분쯤 내부에서 지정하지 않은 외부 지갑 주소로 약 540억 원 상당의 솔라나 네트워크 계열 자산 일부가 전송된 정황을 확인했다”며 “회원 자산 피해는 없도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이후 오후 3시쯤 해킹 규모를 약 445억 원으로 정정하고 “비정상 출금 시점의 시세를 기준으로 환산했다”고 설명했다. 유출된 자산 20여 종…솔라나 생태계 전반 타격 이어 “핫월렛(Hot Wallet·인터넷 연결 지갑)에서 해킹이 발생했으며, 자산이 분리 보관되는 콜드월렛(Cold Wallet·오프라인 지갑)은 어떠한 침해나 탈취도 없었다”고 덧붙였다. 유출된 자산은 ▲솔라나(SOL) ▲유에스디코인(USDC) ▲렌더(RENDER) ▲웜홀(W) ▲피스네트워크(PYTH) ▲지토(JTO) ▲주피터(JUP) ▲봉크(BONK) ▲아이오넷(IO) ▲드리프트(DRIFT) ▲레이디움(RAY) ▲오르카(ORCA) 등 주요 토큰을 비롯해 ▲액세스프로토콜(ACS) ▲매직에덴(ME) ▲오피셜트럼프(TRUMP) ▲두들즈(DOOD) ▲펏지펭귄(PENGU) ▲솔레이어(LAYER) ▲후마파이낸스(HUMA) ▲소닉SVM(SONIC) 등 신규 프로젝트 토큰까지 포함됐다. 두나무는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 블록체인(온체인) 상에서 자산 이동을 차단하는 조치를 취했다. 약 23억 원 규모의 솔레이어(LAYER) 토큰은 동결에 성공했으며, 나머지 자산도 추적 중이다. 금융당국·KISA 동시 대응…FIU 제재 여파 속 또 악재보안업계는 “솔라나 네트워크 계열 자산을 관리하던 직원 PC가 악성코드에 감염됐을 가능성”을 주요 원인으로 보고 있다. 금융감독원과 한국인터넷진흥원(KISA)은 해킹 사실 통보 직후 현장 점검에 착수했다. 금융당국 관계자는 “사태 파악을 위해 현장 점검에 바로 돌입했다”며 “피해 경위와 시스템 취약점을 조사 중”이라고 밝혔다. 한편 해외 커뮤니티에서도 반응이 이어졌다. 암호화폐 커뮤니티 레딧닷컴에서는 “업비트가 또 털렸다니 믿기 어렵다”는 반응부터 “솔라나 지갑 결함 가능성이 크다”, “중앙화 거래소(CeFi)가 더 안전하다는 말은 농담일 뿐”이라는 비판까지 다양한 의견이 쏟아졌다. 일부는 “직원 내부 해킹 가능성도 배제할 수 없다”고 지적했다. 이번 사고는 업비트에서 6년 만에 발생한 대규모 해킹이다. 지난 2019년 11월 27일에도 약 580억 원 규모의 이더리움(34만 2000ETH)이 익명 지갑으로 유출됐으며, 당시 북한 해커조직 ‘라자루스’와 ‘안다리엘’이 배후로 지목됐다. ‘합병 잔칫날’ 불참한 김형년 부회장 이달 초 업비트는 금융정보분석원(FIU)으로부터 고객확인(KYC) 및 자금세탁방지(AML) 의무 위반으로 352억 원의 과징금과 신규 고객 자산이체 3개월 제한 제재를 받았다. FIU는 당시 현장 점검에서 KYC 미이행 사례 약 530만 건과 의심거래 보고 누락 15건을 적발했다고 밝혔다. 이날 경기 성남시 분당구 네이버 1784 사옥에서 열린 두나무-네이버파이낸셜 합병 기자간담회에는 이해진 네이버 의장, 송치형 두나무 회장, 최수연 네이버 대표, 오경석 두나무 대표, 박상진 네이버파이낸셜 대표 등 양사 고위 인사가 총출동했지만 김형년 두나무 부회장은 불참했다. “전액 보상, 순차적 서비스 재개”최근 ‘디콘(D-CON) 2025’ 콘퍼런스에서 대외 행보를 재개한 김 부회장이 돌연 자리를 비운 이유를 두고, 업계는 “해킹 대응 컨트롤타워 역할을 맡은 것 아니냐”는 관측을 제기했다. 두나무는 “행사 전 해킹 정황을 인지했으나 상황 파악 후 공지하는 과정에서 발표가 늦어졌을 뿐 간담회 일정과는 무관하다”고 설명했다. 두나무는 “회원 자산 피해는 없으며, 회사 자산으로 전액 보상할 계획”이라며 “안전성이 확보되는 대로 입출금 서비스를 차례대로 재개할 예정”이라고 밝혔다. 이번 피해액은 두나무의 3분기 순이익(2390억 원)의 약 18.6%에 해당한다.

가상자산 거래소 업비트가 27일 새벽 약 445억 원 규모의 디지털 자산 해킹 피해를 입었다. 이 사고는 두나무와 네이버파이낸셜의 합병 기자간담회가 열린 당일에 발생했다. 새벽 4시 42분, ‘비정상 이체’ 포착…540억→445억 정정 업비트 운영사 두나무는 즉시 솔라나 네트워크 기반 입출금 서비스를 전면 중단하고 긴급 보안 점검에 들어갔다. 두나무는 “이날 오전 4시 42분쯤 내부에서 지정하지 않은 외부 지갑 주소로 약 540억 원 상당의 솔라나 네트워크 계열 자산 일부가 전송된 정황을 확인했다”며 “회원 자산 피해는 없도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이후 오후 3시쯤 해킹 규모를 약 445억 원으로 정정하고 “비정상 출금 시점의 시세를 기준으로 환산했다”고 설명했다. 유출된 자산 20여 종…솔라나 생태계 전반 타격 이어 “핫월렛(Hot Wallet·인터넷 연결 지갑)에서 해킹이 발생했으며, 자산이 분리 보관되는 콜드월렛(Cold Wallet·오프라인 지갑)은 어떠한 침해나 탈취도 없었다”고 덧붙였다. 유출된 자산은 ▲솔라나(SOL) ▲유에스디코인(USDC) ▲렌더(RENDER) ▲웜홀(W) ▲피스네트워크(PYTH) ▲지토(JTO) ▲주피터(JUP) ▲봉크(BONK) ▲아이오넷(IO) ▲드리프트(DRIFT) ▲레이디움(RAY) ▲오르카(ORCA) 등 주요 토큰을 비롯해 ▲액세스프로토콜(ACS) ▲매직에덴(ME) ▲오피셜트럼프(TRUMP) ▲두들즈(DOOD) ▲펏지펭귄(PENGU) ▲솔레이어(LAYER) ▲후마파이낸스(HUMA) ▲소닉SVM(SONIC) 등 신규 프로젝트 토큰까지 포함됐다. 두나무는 해킹 직후 모든 자산을 콜드월렛으로 옮기고 블록체인(온체인) 상에서 자산 이동을 차단하는 조치를 취했다. 약 23억 원 규모의 솔레이어(LAYER) 토큰은 동결에 성공했으며, 나머지 자산도 추적 중이다. 금융당국·KISA 동시 대응…FIU 제재 여파 속 또 악재보안업계는 “솔라나 네트워크 계열 자산을 관리하던 직원 PC가 악성코드에 감염됐을 가능성”을 주요 원인으로 보고 있다. 금융감독원과 한국인터넷진흥원(KISA)은 해킹 사실 통보 직후 현장 점검에 착수했다. 금융당국 관계자는 “사태 파악을 위해 현장 점검에 바로 돌입했다”며 “피해 경위와 시스템 취약점을 조사 중”이라고 밝혔다. 한편 해외 커뮤니티에서도 반응이 이어졌다. 암호화폐 커뮤니티 레딧닷컴에서는 “업비트가 또 털렸다니 믿기 어렵다”는 반응부터 “솔라나 지갑 결함 가능성이 크다”, “중앙화 거래소(CeFi)가 더 안전하다는 말은 농담일 뿐”이라는 비판까지 다양한 의견이 쏟아졌다. 일부는 “직원 내부 해킹 가능성도 배제할 수 없다”고 지적했다. 이번 사고는 업비트에서 6년 만에 발생한 대규모 해킹이다. 지난 2019년 11월 27일에도 약 580억 원 규모의 이더리움(34만 2000ETH)이 익명 지갑으로 유출됐으며, 당시 북한 해커조직 ‘라자루스’와 ‘안다리엘’이 배후로 지목됐다. ‘합병 잔칫날’ 불참한 김형년 부회장 이달 초 업비트는 금융정보분석원(FIU)으로부터 고객확인(KYC) 및 자금세탁방지(AML) 의무 위반으로 352억 원의 과징금과 신규 고객 자산이체 3개월 제한 제재를 받았다. FIU는 당시 현장 점검에서 KYC 미이행 사례 약 530만 건과 의심거래 보고 누락 15건을 적발했다고 밝혔다. 이날 경기 성남시 분당구 네이버 1784 사옥에서 열린 두나무-네이버파이낸셜 합병 기자간담회에는 이해진 네이버 의장, 송치형 두나무 회장, 최수연 네이버 대표, 오경석 두나무 대표, 박상진 네이버파이낸셜 대표 등 양사 고위 인사가 총출동했지만 김형년 두나무 부회장은 불참했다. “전액 보상, 순차적 서비스 재개”최근 ‘디콘(D-CON) 2025’ 콘퍼런스에서 대외 행보를 재개한 김 부회장이 돌연 자리를 비운 이유를 두고, 업계는 “해킹 대응 컨트롤타워 역할을 맡은 것 아니냐”는 관측을 제기했다. 두나무는 “행사 전 해킹 정황을 인지했으나 상황 파악 후 공지하는 과정에서 발표가 늦어졌을 뿐 간담회 일정과는 무관하다”고 설명했다. 두나무는 “회원 자산 피해는 없으며, 회사 자산으로 전액 보상할 계획”이라며 “안전성이 확보되는 대로 입출금 서비스를 차례대로 재개할 예정”이라고 밝혔다. 이번 피해액은 두나무의 3분기 순이익(2390억 원)의 약 18.6%에 해당한다.

미국 연방수사국(FBI)이 가상화폐를 탈취한 북한 해커 4명에게 최대 500만 달러(약 68억원)의 현상금을 내걸었다. 1일(현지시간) FBI에 따르면 미 조지아주 북부 검찰청은 지난달 24일 전신 사기·자금세탁 공모 등 혐의를 받는 북한 국적 20대 남성 4명에 대해 연방 체포영장을 발부했다. 앞서 미 법무부는 지난달 30일 북한 정보기술(IT) 노동자들의 위장 취업 사실을 적발했다고 발표하며 이들에 대한 수배령을 사진과 함께 당국 웹사이트에 게시했다. 수배령에는 ‘김관진’(27), ‘강태복’(28), ‘정봉주’(28), ‘창남일’(26)이라고 이들의 이름과 나이가 명시됐다. 이어 관련된 정보를 제공할 경우 최대 500만 달러의 보상금을 지급한다고 밝혔다. FBI는 이들이 영어를 할 줄 알고 아랍에미리트, 라오스와도 관계가 있다고 전했다. 기소장에 따르면 이들은 북한이 발급한 여행 서류를 소지하고 아랍에미리트로 건너가 함께 활동하며 2022년부터 미 애틀랜타에 기반을 둔 블록체인 연구·개발 업체에 신분을 위장하고 원격으로 취업했다. 이후 점차 고용주의 신뢰를 얻으면서 가상화폐 자산에 접근할 수 있는 권한을 얻은 뒤 소스 코드를 변경하는 수법으로 가상화폐를 빼돌렸다. 이들은 범행 당시 기준으로 91만 5000달러(약 12억 4000만원)어치의 가상화폐를 탈취하고 자금세탁을 공모한 혐의를 받는다. 북한은 최근 세계 각국을 상대로 가상화폐 탈취를 통한 통치자금 마련에 사활을 걸고 있다. 북한 정찰총국 산하 해킹조직 라자루스(Lazarus)는 지난 2월 바이비트(Bybit) 거래소를 해킹해 약 15억 달러(약 2조 1577억원) 상당의 이더리움 등 가상자산을 빼돌렸다. 이는 단일 사건 기준으로 역대 최대 규모의 가상화폐 해킹으로 기록됐다. 미국 등 정보당국은 빼돌린 자산이 과거 북한이 해킹한 자금과 같은 지갑 주소로 이동한 점, 자금 세탁 방식 등을 근거로 북한 라자루스의 소행이라고 판단했다. 북한은 앞서 2019년 업비트에서 당시 약 580억원(현 시세 약 1조 4700억원) 상당의 이더리움을 탈취했다.

최근 북한의 비트코인 보유량이 전 세계 3위에 이른다는 주장이 나와 많은 이들을 놀라게 했습니다. 북한의 사이버 위협은 최근 몇 년 새 국제사회에서 매우 심각한 문제로 떠올랐습니다. 해킹 등 사이버 공격, 정보기술(IT) 인력의 위장 취업 등 다양한 수법으로 정보를 탈취하거나 가상화폐로 수익을 얻어 대북제재로 막힌 경제활동을 하고 있는 것으로 지적됐는데, 그 규모도 상당한 것으로 추정됩니다. 지난 17일(현지시간) 세계 최대 코인거래소인 바이낸스의 뉴스 포털 바이낸스뉴스는 가상화폐 관련 미디어 코이노미디어, 데이터업체 블록비츠 등을 인용해 북한의 해킹 조직 라자루스가 현재 11억 4000만 달러(1조 6500억원)에 해당하는 1만 3562 비트코인(BTC)을 보유한 것으로 추정된다고 했습니다. 이는 19만 8109 BTC를 보유한 미국 정부와 6만 1245 BTC를 보유한 영국 정부에 이어 정부 단위로 세계 3위에 해당하는 양입니다. 게다가 비트코인을 법정 통화로 도입한 엘살바도르(6117 BTC)나 국가적 차원에서 비트코인을 채굴하는 부탄(1만 635 BTC) 보다도 많은 양이라고 합니다. 라자루스는 북한 정찰총국이 운영하는 것으로 알려져 있습니다. 지난달에는 세계 2위 암호화폐 거래소 바이비트의 공급업체를 해킹해 이더리움 40만 1000개 등 14억 6000만달러(2조 1000억원) 상당의 코인을 탈취하기도 했습니다. 역대 암호화폐 탈취 사건 중 최대 규모로 꼽힙니다. 라자루스는 탈취한 이더리움을 비트코인으로 바꾼 뒤 여러 경로를 거쳐 현금화를 하고 있는 것으로 추정됩니다. 문제는 대북제재에도 불구하고 북한의 해킹과 가상화폐 탈취 등의 행태가 인공지능(AI) 기술을 활용해 더욱 교묘하게 이뤄지고 있다는 우려도 커지고 있습니다. 지난 18일 서울에서 열린 ‘구글 클라우드 시큐리티 데이 미디어 브리핑’에서 루크 맥나마라 구글 위협인텔리전스그룹 맨디엍느 부수석 애널리스트는 “북한은 간첩 활동보다도 금전적 이득 혹은 갈취 목적의 공격이 두드러진다”며 “특히 가상자산이나 가상자산거래소를 노리거나 가상자산 사용자, 혹은 대체불가능토큰(NFT) 프로젝트를 겨냥한 활동이 있었다”고 밝혔습니다. 그러면서 “북한은 특이하게도 가상자산 산업이나 기술에 대한 이해도가 굉장히 높다”며 “NFT나 브릿지 등 신기술이 나올 때마다 빠르게 이해하고 악용 방법을 알아냈다”고 지적했습니다. “한국에서 관찰된 적은 없지만 IT 인력을 활용하는 방식도 세계적으로 일어난다”며 “주 목적은 취직한 뒤 수입을 창출해 북한 정권에 송금하는 것이고, 일부는 해커조직과 관련된 경우도 있다”고도 설명했습니다. 한국과 미국을 비롯해 국제사회는 북한의 이러한 사이버 위협과 가상화폐 탈취가 곧 북한 정권의 핵·미사일 프로그램 개발 자금을 위한 외화벌이 수단이라고 보고 사이버 분야까지 제재 범위를 넓혀왔습니다. 가상화폐 거래소부터 브릿지, 가상화폐를 ‘세탁’하는 믹서 기업 등을 제재 대상으로 올려 가상화폐를 현금화하기 위한 자금 흐름을 지속적으로 추적, 차단하고 있습니다. 지난 1월엔 한미일 3국은 공동성명을 내고 “3국 정부는 북한의 불법적인 대량살상무기(WMD) 및 탄도미사일 프로그램에 사용되는 불법 수익 차단을 궁극적인 목표로, 민간업계 등을 대상으로 북한의 암호화폐 탈취를 예방하고 해당 자금을 회수하기 위해 함께 노력하고 있다”고 강조했습니다. 한미일 3국은 3국 제재 대상으로 지정된 라자루스 등 북한과 연계된 지능형 지속공격(ATP) 단체들이 사이버 범죄를 통해 암호화폐를 탈취하고 거래소나 가상자산 수탁업체, 개인 사용자를 겨냥하고 있다고 지적하기도 했습니다. 미국 도널드 트럼프 2기 정부의 피트 헤그세스 국방부 장관도 인사청문회 때 제출한 답변서를 통해 북한의 사이버 역량 강화가 세계 안정에 위협이 된다고 밝힌 바 있습니다. 이승열 국회입법조사처 입법조사관은 2023년 통일연구원의 ‘통일정책연구’에 실은 논문 ‘북한 사이버 공격 전략의 진화: 대북제재 회피를 위한 외화벌이 수단으로서 사이버 전략’을 통해 미국은 물론 한국 정부도 북한의 사이버 공격을 심각하게 보고 적극적인 대응방안을 모색하고 있다면서도 “우리 정부의 노력과 관계 없이 국제사회의 공통된 협력 체계가 부재한 상황에서 개별 국가의 노력은 한계가 있을 수밖에 없다”고 지적했습니다. 따라서 “무엇보다 우리 정부는 미국과 함께 북한의 사이버 공격에 대한 대응 차원에서 국제적 제재 플랫폼을 구축하는 데 적극적으로 나설 필요가 있다”며 사이버 안보에 대한 국제규범 확립에 더 적극적으로 참여할 것을 촉구했습니다.

북한의 비트코인 보유량이 전 세계 3위를 기록했다는 주장이 나왔다. 세계 최대 암호화폐 거래소인 바이낸스가 운영하는 바이낸스 뉴스와 암호화폐 데이터 제공업체 아크햄인텔리전스에 따르면 북한의 해킹 조직 라자루스는 현재 11억 4000만 달러(약 1조 6500억원)에 해당하는 1만 3562 비트코인을 보유하고 있는 것으로 추산됐다. 미국이 보유한 19만 8109 비트코인, 6만 1245 비트코인을 보유한 영국에 이어 전 세계 3위에 해당하는 규모다. 현재 북한의 비트코인 보유량은 비트코인을 비축 통화로 지정한 엘살바도르와 풍부한 수력 발전 자원을 통해 비트코인을 채굴해 온 부탄보다 많다. 북한의 비트코인 보유량은 지난달 세계 3위의 암호화폐 거래소 바이비트를 해킹하면서 많이 늘어난 것으로 추정된다. 북한은 당시 15억 달러 상당의 이더리움을 탈취한 것으로 전해졌다. 자유아시아방송(RFA)은 지난 13일 미국 사이버보안 전문가를 인용, 북한이 이를 비트코인으로 전환하는 데 성공했지만 이를 현금화하지는 못한 상태라고 전했다. 북한은 최근 수년간 라자루스 등을 동원해 암호화폐 거래소 등을 해킹해 암호화폐를 탈취한 것으로 전해졌다. 북한은 이를 현금으로 세탁한 뒤 핵무기 개발 등에 사용했다는 의혹을 받고 있다.

“인류 역사상 최대 강도 사건.” 26일(현지시간) 영국 인디펜던트는 최근 발생한 2조원 규모 가상화폐 탈취 사건을 이렇게 평가했다. 사상 최대 규모의 이 도둑질 뒤에는 북한이 있다. 美 FBI “바이비트 해킹 북한 소행…훔친 암호화폐 이미 분산”지난 21일 가상화폐 거래소 바이비트(Bybit)에서는 14억 6000만 달러(약 2조 1000억원) 규모의 코인이 해킹을 통해 탈취되는 사건이 발생했다. 해커 집단은 바이비트의 콜드월렛(인터넷이 차단된 가상화폐 지갑)에 보관돼 있던 암호화폐를 핫월렛(온라인에 연결된 가상화폐 지갑)으로 옮기는 과정에서 지갑 주소를 확인하는 담당자를 표적으로 삼고 ‘피싱’(phishing) 공격을 가했다. 여기에 속은 바이비트 측은 정상적인 거래라고 생각해 송금을 승인했지만, 실제로는 해커 집단의 지갑으로 암호화폐가 흘러갔고 이후 약 50개의 다른 지갑들로 분산돼 ‘세탁’을 시도하려 한 정황이 포착됐다. 배후로는 북한 해킹 조직 ‘라자루스’가 지목됐다. 바이비트와 블록체인 분석 전문가들은 이번 사건에 동원된 범행 수법이 과거 라자루스의 수법과 흡사했다고 밝혔다. 미국 연방수사국(FBI) 역시 25일 북한이 이번 사건의 배후라고 지목하면서 이른바 ‘트레이더트레이터’(TraderTraitor) 수법이 동원된 것으로 파악됐다고 밝혔다. 트레이더트레이터는 ‘고소득 일자리 제안 등으로 위장해 악성코드가 숨겨진 암호화폐 애플리케이션 등을 내려받도록 유도하는 해킹 수법’을 지칭하는 미국 정부 용어다. FBI는 “트레이더트레이터 행위자들은 빠르게 진행 중이며, 훔친 자산 일부를 수천개의 주소에 분산된 비트코인과 여타 가상자산으로 전환했다”라며, 이 자산이 좀 더 세탁을 거쳐 현금화될 것으로 전망한다고 설명했다. 英매체 “북한 라자루스, 자국 한해 국방예산 탈취한 셈” 이번 사건의 피해 규모는 과거 있었던 비슷한 사건과는 비교도 할 수 없을 만큼 크다. 2022년 로닌 네트워크 해킹과 2021년 폴리 네트워크 해킹 사건 피해액도 각각 6억 1500만 달러(약 8880억원), 6억 1100만 달러(약 8820억원)였다. 2022년 BNB 토큰 취약점 악용 사건과 2018년 코인핵 절도 사건 피해액은 각각 5억 6900만 달러(약 8210억원), 5억 3000만 달러(약 7650억원)였다. 인디펜던트는 라자루스의 이번 해킹을 “인류 역사상 최대 강도 사건”이라고 표현하며, 사담 후세인 전 이라크 대통령을 거론하기도 했다. 통상 인류 역사상 최대 규모 강도 사건이라고 하면 2003년 이라크 전쟁 발발 직전 사담 후세인 당시 이라크 대통령이 이라크 중앙은행에서 10억 달러(약 1조 4000억원) 상당의 돈을 훔친 것이 거론된다. 이번 해킹 사건 피해액은 그보다도 5억 달러 가까이 많은 14억 6000만 달러(약 2조 1000억원)에 달한다. 인디펜던트는 이 돈이 북한의 한 해 국방예산(2023년 기준 14억 7000만 달러, 약 2조원)과 맞먹는다고 지적했다. 바이비트, 라자루스 겨냥 현상금 사이트 개설바이비트 측은 라자루스의 자금 세탁 활동을 완전히 투명하게 공개하는 첫 현상금 사이트를 개설, 자금추적에 나서는 한편 제공된 정보로 자금 동결에 성공할 경우 동결 금액의 5%를 보상금으로 지급한다는 계획을 발표했다. 벤 저우 바이비트 최고경영자(CEO)는 이러한 활동을 “라자루스 또는 가상화폐 업계의 악의적인 행위자가 사라질 때까지 멈추지 않을 것이다”라고 강조했다. 2009년 창립된 것으로 알려진 북한 정찰총국 산하 해커조직 라자루스는 2014년 미국 소니픽처스를 해킹하면서 주목받기 시작했다. 이 조직은 2016년에는 방글라데시 중앙은행을 해킹해 8100만 달러(약 1100억원)를 훔쳤고, 2017년에는 ‘워너크라이’ 랜섬웨어를 유포해 전 세계 150여개국에 대규모 피해를 발생시키는 등 각종 범죄를 저질러 온 것으로 평가된다.

세계 2위 규모의 가상자산(암호화폐) 거래소인 바이비트가 14억 6000만 달러(약 1조 1000억원)에 달하는 역대 최대 규모의 해킹 피해를 당했다. 2014년 마운트곡스(4억 7000만 달러), 2021년 폴리 네트워크(6억 1100만 달러) 사건을 훨씬 넘어서는 금액이다. 23일 암호화폐 업계에 따르면 벤 저우 바이비트 최고경영자는 21일(현지시간) “해커가 바이비트의 지갑 중 하나를 공격했다”며 “이더리움(ETH) 및 다른 ERC-20(이더리움 토큰 발행 표준) 계열 암호화폐를 탈취당했다”고 밝혔다. 암호화폐 지갑은 보안성을 높이기 위해 암호화된 개인 키(key)를 사용한다. 키 저장 방식에 따라 오프라인 상태의 ‘콜드월렛’, 온라인 상태의 ‘핫월렛’으로 나뉜다. 통상 거래소들은 이용자들이 수탁한 자산의 70~80%를 상대적으로 보안성이 높은 콜드월렛에 보관하고 나머지는 입출금이 빠른 핫월렛에 담아 둔다. 앞서 2019년 북한 해킹 조직인 라자루스의 공격을 받은 국내 1위 거래소인 업비트의 해킹 피해는 이더리움 34만 2000개(현재 시세로 약 1조 4700억원)를 핫월렛에서 다른 핫월렛으로 전송 중일 때 발생했다. 다만 어떤 형태의 월렛이든 자산을 입출금하려면 최소 한 번은 인터넷 접속에 해야 한다는 점에서 콜드월렛 역시 해킹 피해에서 자유로울 수 없다. 바이비트도 총자산의 약 9%에 해당하는 이더리움을 콜드월렛에서 웜월렛(콜드월렛의 보안성과 핫월렛의 빠른 거래 속도를 결합한 지갑)으로 옮기는 과정에서 해커의 공격을 받았다. 이번 사건의 주범은 업비트 사고 때와 마찬가지로 북한 해킹 조직 라자루스가 유력한 것으로 추정된다. 바이비트 조사를 돕는 블록체인 데이터 추적 플랫폼 아캄 인텔리전스는 “분석자 잭엑스비티가 (라자루스가 범인이란) 관련 증거를 제출했다고”고 밝혔다. 블록체인 분석 기업 체이널리시스에 따르면 북한에 의한 암호화폐 거래소 해킹 피해 금액은 2016년 200만 달러(1곳)에서 2023년 10억 달러(20곳)까지 커졌다. 황석진 동국대 국제정보보호대학원 교수는 “이용자 차원에서 자산을 거래소별로 분산해 가지고 있는 것이 현실적인 대안”이라며 “바이비트 해킹을 계기로 국내 거래소들이 자체적으로 보안을 강화하는 한편 당국 차원에서도 한국인터넷진흥원과 함께 거래소 보안 정기 점검에 나서야 한다”고 말했다.

세계 최대 암호화폐 거래소 중 한 곳이 역대 최대 규모인 2조원대 해킹을 당한 가운데, 북한 해킹 조직의 소행일 가능성이 제기됐다. 21일(현지시간) 블룸버그 통신에 따르면 암호화폐 거래소 바이비트(Bybit)가 해킹을 당해 14억 6000만 달러(약 2조 1000억원)의 코인이 탈취 당했다. 바이비트 최고경영자(CEO) 벤 저우는 이날 엑스(X·옛 트위터)에 “해커가 바이비트의 오프라인 이더리움 지갑 중 하나를 탈취했다”고 밝혔다. 블록체인 분석가 잭엑스비티(ZachXBT)는 이로 인해 14억 6000만 달러 상당의 자산이 의심스러운 거래를 통해 지갑에서 유출됐다고 설명했다. 블록체인 데이터 추적 플랫폼 아캄 인텔리전스도 엑스를 통해 약 14억 달러의 자금이 유출됐다며 “이 자금이 새로운 주소로 이동하며 매각되고 있다”고 밝혔다. 이번 해킹은 2014년 마운트곡스(4억 7000만 달러)와 2021년 폴리 네트워크(6억 1100만 달러) 사건을 넘어선 역대 최대 규모의 암호화폐 해킹으로 꼽히고 있다. 2018년 설립된 바이비트는 일일 평균 거래량이 360억 달러(약 51조 7860억원) 이상인 세계 최대 암호화폐 거래소 중 하나다. 한때 거래량 기준 전 세계 2위에 오르기도 했다. 두바이에 본사를 둔 이 플랫폼은 해킹 이전 약 162억 달러의 자산을 보유하고 있었다. 도난당한 이더리움은 총 자산의 약 9%에 해당한다. 블록업체 분석업체 난센에 따르면 이날 바이비트에서 해킹당한 자금은 이더리움과 이더리움 파생상품으로 구성됐다. 코인은 먼저 하나의 지갑으로 이전된 다음 40개 이상의 지갑으로 분산됐다. 또 파생상품은 모두 이더리움으로 바꾼 뒤 2700만 달러씩 10개 이상의 추가 지갑으로 옮겼다고 난센은 설명했다. 아캄 인텔리전스는 잭엑스비티가 북한 해킹 조직 라자루스 소행이라는 증거를 제출했다고 밝혔다. 바이비트의 조사를 돕고 있는 블록체인 보안 기업 파이어블록스도 “이번 해킹은 지난해 발생한 인도 암호화폐 거래소 와지르X와 대출 프로토콜 라디언트 캐피털에 대한 공격과 유사한 것으로 보인다”며 “두 사건 모두 북한 소행이었다”고 설명했다. 북한 해커들은 와지르X에서 2억 3490만 달러, 라디언트 캐피탈에서는 5000만 달러 규모의 암호화폐를 해킹한 배후로 지목받고 있다. 북한은 최근 수년간 암호화폐 거래소 등에 대한 해킹을 통해 암호화폐를 탈취해 현금으로 세탁한 뒤 핵무기 개발 등에 사용하고 있다는 의혹을 받고 있다. 한미일 3국은 지난달 공동성명을 내고 지난해 발생한 6억 6000만 달러(약 9600억원) 규모 암호화폐 탈취 사건을 북한 소행으로 공식 지목했다. 또 2019년 11월 암호화폐 거래소 업비트에 보관돼있던 이더리움 34만 2000개가 탈취된 사건과 관련해, 북한 정찰총국 소속 해커집단 ‘라자루스’와 ‘안다리엘’ 등 2개 조직이 범행에 가담한 사실을 파악했다고 경찰청 국가수사본부가 밝혔다. 바이비트 대규모 해킹 소식에 이날 암호화폐는 일제히 하락했다. 암호화폐 거래소 코인베이스에 따르면 미 동부 시간 이날 오후 3시 45분 비트코인 1개당 가격은 24시간 전보다 2.42% 내린 9만 6116달러에 거래됐다. 비트코인은 이날 한때 9만 5000달러 아래까지 하락하기도 했다.

지난 5월 일본 가상화폐 거래소에서 발생한 4500억원 규모의 비트코인 유출 사건이 북한 해커집단의 소행으로 드러났다. 지난 24일 일본 교도통신 보도에 따르면 일본 경찰청과 경시청은 북한과 관련된 해커집단인 ‘트레이더 트레이터’(Trader Traitor)가 지난 5월 자국 가상화폐거래소 ‘DMM 비트코인’에서 가상화폐 482억엔(약 4500억원)을 훔쳤다고 발표했다. 일본 경찰은 미국 국방부 및 연방수사국(FBI)과 협력해 북한 해커집단이 범행을 저지른 것으로 밝혀냈으나, 용의자를 특정하지는 못했다. 일본 경찰에 따르면 트레이더 트레이터는 북한 정찰총국 소속 해커집단 ‘라자루스’의 조직 일부로 2022년 4월부터 활동하고 있지만 일본 내 피해가 확인된 것은 이번이 처음이다. 경찰은 DMM 비트코인에서 절취된 비트코인의 흐름을 추적한 결과 트레이더 트레이터가 관리하는 계좌에 들어간 것을 찾아냈다. 북한 해커는 헤드헌터를 가장해 DMM 비트코인 관련 업체 직원에게 접근한 뒤 컴퓨터에 멀웨어(악성 소프트웨어)를 감염시켜 가상화폐를 훔친 것으로 드러났다. 통신은 지난 3월 DMM 비트코인의 가상화폐 계좌 관리를 위탁받은 업체 직원이 헤드헌터를 위장한 인물이 채용 전 시험이라며 보내온 인터넷주소(URL)에 접속하면서 컴퓨터가 멀웨어에 감염된 것으로 보인다고 전했다. 해커들은 훔친 정보를 이용해 지난 5월 중순 이후 DMM 비트코인 시스템에 침입해 거래 금액과 송금처를 조작해 비트코인을 훔쳤다. DMM 비트코인은 사건 직후 서비스가 제한됐으며 결국 지난 2일 폐업한다고 했다.

北 정찰총국 해킹조직 2곳 소행5년 전 이더리움 34만여개 탈취분산 전송·비트코인 교환해 세탁핵·미사일 자금 조달에 사용 추정 북한 정찰총국 산하 해킹 조직이 5년 전 우리나라 최대 가상자산 거래소에서 당시 580억원 상당(현재 약 1조 4700억원)의 가상자산을 탈취한 사실이 21일 확인됐다. 수사기관이 확인한 결정적 증거물(스모킹건)은 바로 ‘헐한 일’(중요하지 않은 일이라는 북한말)이라는 단어였다. 북한이 해외 등 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고, 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만, 국내 수사기관이 공식 확인한 것은 처음이다. 경찰청 국가수사본부는 2019년 11월 북한의 대남공작기구인 정찰총국 소속 해킹 조직 ‘라자루스’, ‘안다리엘’ 2곳이 국내 가상자산 거래소 ‘업비트’가 보관하던 이더리움 34만 2000개를 탈취했다고 이날 밝혔다. 그간 라자루스는 정부 기관과 금융기관을, 안다리엘은 군과 국방산업을 주로 공격해 왔다. 경찰은 2022년 11월쯤 이번 사건의 배후를 북한으로 보고 수사를 이어 왔다. 미국 연방수사국(FBI)과의 공조를 통해 북한의 IP주소와 탈취된 가상자산 흐름 등을 추적한 결과다. 해커가 사용한 정보통신기기에서 ‘헐한 일’ 등 북한말이 오간 정황이 주요 증거였다고 한다. 경찰은 모방이나 재범을 우려해 구체적인 해킹 방식은 공개하지 않았지만 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 파고들어 이를 탐지하기가 쉽지 않은 것으로 전해졌다. 북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 해킹 조직은 580억원의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다. 이렇게 분산시킬 경우 탈취된 가상화폐라는 점을 입증하기가 어려워진다. 경찰은 스위스 당국과 공조 끝에 스위스의 한 가상자산 거래소에 남아 있던 4.8비트코인(현재 시세 기준 약 6억원)을 환수해 지난달 업비트에 돌려줬다. 경찰은 다른 해외 거래소도 접촉했지만 대부분 협조 요청에 답하지 않거나, 탈취된 가상자산이라는 게 입증되지 않았다며 환수를 거절한 것으로 알려졌다. 북한은 지난 7월 인도 최대 가상자산 거래소에서 2억 달러(약 2700억원) 상당의 가상자산이 탈취된 건과 관련해서도 범인으로 지목된 바 있다. 블록체인 데이터 분석기업 ‘체이널리시스’는 북한 해킹 조직이 탈취한 가상자산이 지난해 10억 달러(약 1조 3900억원)에 달할 것으로 추산했다. 김형중 고려대 정보보호대학원 교수는 “현금과 달리 가상자산은 탈취하면 전송이 쉬운 특성상 개인 지갑이나 시세 조종 등 약한 고리를 노리는 북한 해커의 시도가 계속될 수 있다”고 말했다.

북한 정찰총국 산하 해킹 조직이 5년 전 우리나라 최대 가상자산 거래소에서 당시 580억원 상당(현재 약 1조 4700억 원)의 가상자산을 탈취한 사실이 21일 확인됐다. 수사기관이 확인한 결정적 증거물(스모킹건)은 바로 ‘헐한 일’(중요하지 않은 일이라는 북한말)이라는 단어였다. 북한이 해외 등 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고, 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만, 국내 수사기관이 공식 확인한 것은 처음이다. 경찰청 국가수사본부는 2019년 11월 북한의 대남공작기구인 정찰총국 소속 해킹 조직 ‘라자루스’, ‘안다리엘’ 2곳이 국내 가상자산 거래소 ‘업비트’가 보관하던 이더리움 34만 2000개를 탈취했다고 이날 밝혔다. 그간 라자루스는 정부 기관과 금융기관을 안다리엘은 군 및 국방산업을 주로 공격해 왔다. 경찰은 2022년 11월쯤 이번 사건의 배후를 북한으로 보고 수사를 이어왔다. 미국 연방수사국(FBI)과 공조 등을 통해 북한의 IP주소와 탈취된 가상자산 흐름 등을 추적한 결과다. 해커가 사용한 정보통신기기에서 ‘헐한 일’ 등 북한말이 오간 정황이 주요 증거였다고 한다. 경찰은 모방이나 재범을 우려해 구체적인 해킹 방식은 공개하지 않았지만 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 파고들어 이를 탐지하기가 쉽지 않은 것으로 전해졌다. 북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 해킹 조직은 580억의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고, 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다. 이렇게 분산시킬 경우 탈취된 가상화폐라는 점을 입증하기가 어려워진다. 경찰은 스위스 당국과 공조 끝에 스위스의 한 가상자산 거래소에 남아있던 4.8비트코인(현재 시세 기준 약 6억원)을 환수해 지난달 업비트에 돌려줬다. 경찰은 다른 해외 거래소도 접촉했지만 대부분 협조 요청에 답하지 않거나 탈취된 가상자산이라는 게 입증되지 않았다며 환수를 거절한 것으로 알려졌다. 북한은 지난 7월 인도 최대 가상자산 거래소에서 2억 달러(약 2700억원) 상당의 가상자산이 탈취된 건과 관련해 범인으로 지목된 바 있다. 블록체인 데이터 분석기업 ‘체이널리시스’는 북한 해킹 조직이 탈취한 가상자산이 지난해 10억 달러(약 1조 3900억원)에 달할 것으로 추산했다. 김형중 고려대 정보보호대학원 교수는 “현금과 달리 가상자산은 탈취하면 전송이 쉬운 특성상 개인 지갑이나 시세 조종 등 약한 고리를 노리는 북한 해커의 시도가 계속될 수 있다”고 말했다.

5년 전 국내 가상자산 거래소 업비트에서 발생한 대규모 가상화폐 탈취 사건이 북한 소행이었던 것으로 드러났다. 당시 580억원 상당의 이더리움이 탈취됐는데, 현재 시세는 1조 5천억원에 달한다. 21일 경찰청 국가수사본부는 2019년 11월 가상자산 거래소 ‘업비트’에 보관돼있던 이더리움 34만 2000개가 탈취된 사건과 관련해, 북한 정찰총국 소속 해커집단인 ‘라자루스’와 ‘안다리엘’ 등 2개 조직이 범행에 가담한 사실을 파악했다고 밝혔다. 국내 수사기관이 북한의 가상자산 해킹을 공식 확인한 것은 이번이 처음이다. 피해 규모는 당시 시세로는 580억원, 현재 기준으로는 1조 4700억원 상당이다. 경찰은 북한의 IP 주소와 가상자산의 흐름, 북한 어휘 사용 흔적, 미국 연방수사국(FBI)과의 공조로 확보한 자료 등을 토대로 북한 소행으로 판단했다고 밝혔다. 모방 및 재범 우려를 이유로 구체적인 공격 방식은 공개하진 않았지만 당시 공격에 사용된 컴퓨터에서 북한 말인 ‘헐한 일’이라는 용어를 쓴 흔적을 찾아냈다고 전했다. 이 말은 ‘중요하지 않은 일’이라는 뜻이다. 경찰은 북한이 탈취한 이더리움의 57%는 북한이 개설한 것으로 추정되는 가상자산 교환 사이트 3개를 통해 시세보다 2.5% 싼 가격에 비트코인으로 바꿔치기 된 것으로 파악했다. 나머지 이더리움은 해외 51개 거래소로 분산 전송된 후 세탁됐다. 경찰은 2020년 10월 비트코인으로 바꿔치기 된 일부 피해 자산이 스위스의 한 가상자산 거래소에 보관됐다는 사실을 확인했다. 이후 4년에 걸쳐 스위스 검찰에 해당 비트코인이 국내에서 탈취당한 자산이란 점을 증명한 뒤 지난 10월 피해자산 일부인 4.8비트코인(약 6억원)을 환수해 업비트에 돌려줬다.

“디도스 의심… 오후 3시 탐지·차단”판결문·사건진행 확인 등 시민 불편전자소송·법원 내부망은 정상 작동5일 합참·與홈페이지 등 공격 받아과기부 “공격 주체, 친러 단체 추정” 전국 법원 홈페이지가 7일 오후 디도스(분산서비스거부·DDoS)로 의심되는 공격을 받아 일시적으로 접속이 중단됐다. 이에 따라 법원 홈페이지를 통한 판결문 열람이나 소송 당사자들의 사건 진행 확인이 어려워지는 등 대국민 서비스가 일부 차질을 빚었다. 지난 5일 국방부 등 행정부와 국민의힘 홈페이지가 디도스 공격으로 마비된 지 이틀 만에 사법부 공격까지 이어지면서 국가기관에 대한 사이버 공격의 우려가 높아지고 있다. 이날 오후 한때 법원 홈페이지에 접속을 시도하면 아무런 화면이 뜨지 않은 채 장기간 접속이 안 되거나, 기다린 끝에 접속이 되더라도 응답 시간이 오래 걸려 내부 기능을 정상적으로 이용할 수 없는 상황이 발생했다. 이런 상황은 각 법원 홈페이지마다 1~2시간가량 이어지다 복구됐다. 법원행정처는 “디도스로 의심되는 공격이 있었으나 법원은 자체 사이버안전센터와 데이터센터를 두고 있어서 홈페이지에 대한 의심 공격을 차단했다”며 “오후 3시 21분쯤 공격 탐지를 시작해 즉시 차단했다”고 밝혔다. 이어 “특정 사이트에 대한 접속 폭주로 후순위 이용자의 접속이 일시 지연되는 상황이 간헐적으로 발생했다”고 덧붙였다. 디도스 공격은 웹사이트나 온라인서비스에 대량의 트래픽을 발생시켜 서비스를 마비시키는 사이버 공격 방식이다. 사건검색 등 대국민 서비스를 제공하는 법원 홈페이지 접속이 일시 중단됨에 따라 소송 당사자들과 민원인들이 불편을 겪었다. 다만 전자소송이나 법원 내부망, 인터넷 등기소 등에는 문제가 없는 것으로 파악됐다. 법원행정처는 “법원 내부망은 인터넷과 차단돼 있어 공격 대상이 아니고 원활하게 서비스 중”이라고 설명했다. 하지만 일각에서는 전자소송 홈페이지의 접속이 제대로 이뤄지지 않았다는 이야기가 나왔다. 서초동의 한 변호사는 “전자소송 기록을 보기 위해 접속했는데 끊김 현상이 있어서 컴퓨터를 껐다 켰다 반복했다”고 말했다. 지난 5일에도 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘 홈페이지가 디도스 공격을 받아 접속되지 않다가 복구됐다. 과학기술정보통신부는 공격 주체가 단일한 친러 성향의 해킹 그룹으로 추정된다고 밝혔다. 앞서 법원 전산망에 대한 북한 해킹조직의 침투로 2년 넘게 개인정보가 유출된 사실이 지난해 말 뒤늦게 알려지면서 논란이 불거진 바 있다. 경찰청 국가수사본부가 정부 합동조사를 진행한 결과 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월부터 지난해 2월까지 대법원 전산망에서 개인정보 등 총 1014GB(기가바이트)의 자료를 빼낸 것으로 드러났다. 법원행정처 관계자는 “국가정보원, 국가수사본부 등과 긴밀히 공조하며 대응 중”이라며 “디도스 공격이 이번같이 큰 규모로는 올해 처음이고 근래에도 많지는 않았다”고 말했다.

오후 3시 21분 공격 탐지...일시 지연 등 마비소송 당사자 등 불편...“제출 기한 놓칠 수도”5일 국방부·합참 등도 디도스 공격 전국 법원 홈페이지가 7일 오후 디도스(분산서비스거부·DDoS)로 의심되는 공격을 받아 일시적으로 접속이 중단됐다. 이에 따라 법원 홈페이지를 통한 판결문 열람이나 소송 당사자들의 사건 진행 확인이 어려워지는 등 대국민 서비스가 일부 차질을 빚었다. 지난 5일 국방부 등 행정부와 국민의힘의 홈페이지가 디도스 공격으로 마비된 지 이틀 만에 사법부 공격까지 이어지면서 국가기관에 대한 사이버 공격의 우려가 높아지고 있다. 이날 오후 한때 법원 홈페이지에 접속을 시도하면 아무런 화면이 뜨지 않은 채 장기간 접속이 안 되거나, 기다린 끝에 접속이 되더라도 응답 시간이 오래 걸려 내부 기능을 정상적으로 이용할 수 없는 상황이 발생했다. 전국 최대 법원인 서울중앙지법 홈페이지는 오후 5시 기준 ‘사이트에 연결할 수 없다’는 안내 문구만 떴다. 법원행정처는 “디도스로 의심되는 공격이 있으나 법원은 자체 사이버안전센터와 데이터센터를 두고 있어서 홈페이지에 대한 의심 공격을 차단 중”이라며 “오후 3시 21분쯤 공격 탐지를 시작해 즉시 차단했다”고 밝혔다. 이어 “특정 사이트에 대한 접속 폭주로 후순위 이용자의 접속이 일시 지연되는 상황이 간헐적으로 생기고 있다”고 덧붙였다. 디도스 공격은 웹사이트나 온라인서비스에 대량의 트래픽을 발생시켜 서비스를 마비시키는 사이버 공격 방식이다. 다만 전자소송이나 법원 내부망, 인터넷 등기소 등에는 문제가 없는 것으로 파악됐다. 법원행정처는 “법원 내부망은 인터넷과 차단돼 있어 공격 대상이 아니고 원활하게 서비스 중”이라고 설명했다. 사건검색 등 대국민 서비스를 제공하는 법원 홈페이지 접속이 일시 중단됨에 따라 소송 당사자들과 민원인들이 불편을 겪었다. 일각에서는 전자소송 홈페이지도 접속이 원활치 않았다는 이야기도 나온다. 서초동의 한 변호사는 “항소장 제출 기한이 오늘이었는데 홈페이지 마비로 제출하지 못했더라면 구제받기 어려웠을 것”이라고 말했다. 지난 5일에도 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘 홈페이지가 디도스 공격을 받아 접속되지 않다가 복구됐다. 과학기술정보통신부는 공격 주체가 단일한 친러 성향의 해킹 그룹으로 추정된다고 밝혔다. 앞서 법원 전산망에 대한 북한 해킹조직의 침투로 2년 넘게 개인정보가 유출된 사실이 지난해 말 뒤늦게 알려지면서 논란이 불거진 바 있다. 대법원은 지난해 2월 내부 전산망에 악성코드를 탐지해 차단했음에도, 해킹 공격 사실을 신고하는 등 후속 조치는 밟지 않고 국가정보원의 기술 지원만 요청했다. 지난해 11월 언론에 유출 사실이 알려지면서 대법원은 뒤늦게 개인정보보호위원회에 신고했다. 이후 경찰청 국가수사본부는 지난 5월 정부 합동조사 결과 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월부터 지난해 2월까지 대법원 전산망에서 개인정보 등 총 1014GB(기가바이트)의 자료를 빼낸 사실을 발표했다. 천대엽 법원행정처장은 지난 3월 사법부 전산망 해킹과 관련해 사과하며 “보안역량 강화를 위한 종합대책 수립을 진행하고 있다”고 밝힌 바 있다. 법원행정처는 “사법부도 국가정보원, 국가수사본부 등의 기관과 긴밀히 공조하며 대응 중”이라며 “디도스는 이번같이 큰 규모로는 올해 처음이고 근래에도 많지는 않았다”고 말했다.

아프리카 말라위의 사울로스 칠리마(51) 부통령 등 일행 10명이 군용기 추락으로 사망했다고 라자루스 차퀘라 말라위 대통령이 11일(현지시간) 밝혔다. 차퀘라 대통령은 이날 국영TV로 생중계된 연설에서 “칠리마 부통령 등이 탄 군용기 추락 사고에서 생존자가 없었다”며 “끔찍한 비극으로 끝나 깊은 슬픔과 유감을 표한다”고 말했다. 전날 오전 9시 17분쯤 말라위 수도 릴롱궤에서 칠리마 부통령을 포함해 총 10명을 태우고 이륙한 군용기가 45분 후 북쪽으로 약 370㎞ 떨어진 음주주 국제공항에 도착할 예정이었으나 실종됐다. 이들은 랄프 카삼바라 전 말라위 법무장관의 장례식에 참석하기 위해 이동하던 중이었다. 당시 군용기는 악천후로 인한 시계 악화로 착륙하지 못했으며 조종사는 회항 지시를 받았지만 몇 분 만에 관제탑 레이더에서 사라졌고 교신도 끊어졌다. 말라위 중앙정부와 지방 기관, 군경은 수색·구조 작업에 착수해 하루 뒤 시신과 군용기 잔해를 발견했다. 사고로 숨진 칠리마 부통령은 내년 말라위 대선에 출마할 것으로 예상되던 인물이다. 지난 4일부터 5일까지 열린 한국·아프리카 정상회의 참석차 한국을 방문해 윤석열 대통령과 한덕수 국무총리를 만나기도 했다.

아프리카 말라위의 살로스 칠리마(51) 부통령이 탑승한 군용기가 실종돼 당국이 수색 중이라고 AP통신 등 외신이 10일(이하 현지시간) 보도했다. 칠리마 부통령은 이날 오전 9시 17분경 말라위 수도 리롱궤에서 약 370㎞ 떨어진 음주주 국제공항으로 향하는 군용기에 올랐다. 해당 군용기는 약 45분 후 목적지에 도착할 예정이었으나, 이륙 후 얼마 지나지 않아 실종됐다. 군용기에는 칠리마 부통령과 그의 아내, 현지 정부 관계자 등 총 10명이 탑승해 있었다. 이들은 3일 전 세상을 떠난 현지 내각 장관의 장례식 참석차 군용기에 찹승한 것으로 알려졌다. 말라위 당국은 공식 성명에서 “항공기가 레이더를 벗어난 뒤 항공기와 접촉하려 한 당국의 모든 노력이 실패했다”며 실종을 공식 인정했다. 라자루스 차퀘라 말라위 대통령은 “군을 동원해 항공기의 행방을 찾기 위한 즉각적인 수색 및 구조 작전을 실시하라고 명령했다”면서도 아직 구체적인 경위에 대해서는 공개하지 않았다.말라위 국영TV는 관제소가 해당 항공기에 악천후와 시야 확보 어려움으로 인해 회항하라고 지시했으나, 항공기가 잠시 후 레이더에서 사라졌다고 보도했다. 현재 말라위 당국은 이웃 국가 및 미국, 영국, 노르웨이, 이스라엘 정부 등에 구조 활동 지원을 요청한 것으로 알려졌다. 한편, 실종된 항공기에 탑승했던 칠리마 부통령은 앞서 지난 5일 한국·아프리카 정상회의 참석차 한국을 찾아 한덕수 국무총리와 만난 바 있다.

국방부와 군 고위급 인사들의 개인 이메일이 해킹 공격을 당해 경찰이 수사 중이다. 20일 관계당국에 따르면 경찰청 안보수사국은 최근 차관급을 포함한 국방부 고위공무원과 군 장성들의 개인 이메일 해킹 피해를 파악하고 조사에 착수했다. 경찰 관계자는 “군 관계자들을 상대로 한 북한의 해킹 활동과 관련해 수사 중”이라며 “아직 수사가 진행 중이라 구체적인 해킹 대상과 피해 규모는 밝히기 어렵다”고 말했다. 이번 사건은 개인 이메일 계정이 해킹당한 것으로, 군 서버에 대한 사이버 공격과는 무관한 것으로 알려졌다. 경찰은 이들 군 관계자와 유사한 방식으로 외교안보 전문가 등 내국인 총 100여명의 개인 이메일이 해킹당한 사실을 파악하고 수사 중이다. 지금까지 외부 노출이 적은 군 인사들의 개별 피해 사례는 있었지만, 고위직 100여명 이상이 조직적으로 해킹 피해를 당한 것은 처음이다. 국방부는 “경찰 조사에 협조 중”이라며 “당사자들에게 개인 메일 보안 조치를 강화하라는 지침을 통보했다”고 밝혔다. 한편 ‘김수키’ 등 북한 해킹조직은 우리 군과 외교안보 당국, 전문가 등 주요 인사들의 이메일 계정을 탈취하는 사이버 공격을 지속하고 있다. 지난달 경찰청 안보수사국은 김수키를 포함해 라자루스, 안다리엘 등 북한의 3대 해킹조직이 국내 방산기술 탈취를 목표로 국내 방산업체 10여곳에 전방위적인 해킹 공격을 가했다는 수사 결과를 발표했다.