업비트 해킹, 北 배후설 이유있었다..."北, 올해만 코인 3조어치 탈취" 작성일 11-28 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FzequWaeXW"> <figure class="figure_frm origin_fig" contents-hash="faf9fc556064db8b3c7def43eaa0ce8148862add426871a78017c98fa505eca9" dmcf-pid="3qdB7YNdXy" dmcf-ptype="figure"> <p class="link_figure"><img alt='[서울=뉴시스] 정병혁 기자 = 두나무가 운영하는 가상자산 거래소 업비트에서 수백억원 상당 대규모 해킹 사고가 발생했다. 두나무는 "업비트에서 이날 새벽 4시42분쯤 솔라나 네트워크 계열 자산 일부(약 445억원 상당)가 내부에서 지정하지 않은 지갑 주소(알 수 없는 외부 지갑)로 전송된 정황을 확인했다"며 "추가적인 비정상 이체 사례가 발생하지 않도록 자산을 모두 안전한 콜드월렛으로 이전했다"고 밝혔다. 사진은 27일 서울 강남구 업비트 본사. 2025.11.27. /사진=정병혁' class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204053937qpbj.jpg" data-org-width="1200" dmcf-mid="5iZYTk4q1H" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204053937qpbj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 정병혁 기자 = 두나무가 운영하는 가상자산 거래소 업비트에서 수백억원 상당 대규모 해킹 사고가 발생했다. 두나무는 "업비트에서 이날 새벽 4시42분쯤 솔라나 네트워크 계열 자산 일부(약 445억원 상당)가 내부에서 지정하지 않은 지갑 주소(알 수 없는 외부 지갑)로 전송된 정황을 확인했다"며 "추가적인 비정상 이체 사례가 발생하지 않도록 자산을 모두 안전한 콜드월렛으로 이전했다"고 밝혔다. 사진은 27일 서울 강남구 업비트 본사. 2025.11.27. /사진=정병혁 </figcaption> </figure> <p contents-hash="711fe4642c417a7abe85f2d2515f2f062a3f0398e15beef38c6619b5d02467b3" dmcf-pid="0BJbzGjJ5T" dmcf-ptype="general"><br>국내 가상자산 거래소 업비트에서 445억원의 탈취 사건이 발생한 가운데 이번에도 북한 배후 해킹그룹의 소행이라는 추정이 제기된다.</p> <p contents-hash="755511effd66fd960740e28aba455c9ec387608bf44c8a08d50ebd760bea7ebd" dmcf-pid="pbiKqHAiHv" dmcf-ptype="general">김수키, 라자루스, 안다리엘 등 북한 해커그룹들이 가상자산을 탈취해 미사일 등 대량살상무기 개발 자금을 조달하고 있다는 분석은 이미 여러 차례 제기돼 왔다. 그 중에서도 이번 업비트 해킹은 라자루스의 소행인 것으로 지목되고 있다.</p> <p contents-hash="2d4cfab9cdd39e6e79d210405b386ebbce0e955c72c495f6ed78f869479a9050" dmcf-pid="UKn9BXcnZS" dmcf-ptype="general">일각에서는 북한 해킹 그룹들이 올해 들어 탈취한 가상자산 규모가 20억달러(약 2조9422억원)에 달할 것이라는 추산치도 나온다.</p> <div contents-hash="6480873fee217ec2c4fcc256867a98cfcf20aba86a29d4eb29df73fe6b736066" dmcf-pid="u9L2bZkLtl" dmcf-ptype="general"> <div></div> <div></div> <div> ━ </div> <strong>"북한 정권 8.8조 탈취, 올해만 2.9조원"</strong> <div> ━ </div> <div></div> <div></div>28일 블록체인 분석업체 엘립틱(Eliptic)에 따르면 북한 정권이 탈취한 가상자산의 규모는 현재까지 60억달러(약 8조8290억원)에 달하고 이 중 20억달러 상당이 올해 탈취한 것이라고 추정된다. </div> <p contents-hash="030a47cd71f1b24db118f69a03a45e60018da5580f2fc5da14c54b1088e1f599" dmcf-pid="72oVK5EoYh" dmcf-ptype="general">올해 20억달러 규모의 탈취 건 중에서는 올 2월 UAE(아랍에미리트연합) 두바이에 본사를 둔 가상자산 거래소 바이빗(Bybit)에서 14억6000만달러(약 2조1484억원)어치의 가상자산이 탈취된 사건이 가장 컸다. 바이빗 해킹 사건은 단일 사건 중에서는 역대 최대 규모의 가상자산 탈취 사건으로 꼽힌다.</p> <p contents-hash="8987c03e06f55acdf4ff13ecb3bba27d802a4e3e1ef155a65bb9fed4f2ce3b84" dmcf-pid="zzequWaeYC" dmcf-ptype="general">엘립틱은 "올해 북한 소행으로 공식 확인된 다른 도난 사건으로는 LND.fi(탈중앙화 금융 플랫폼), WOO X(가상자산 거래 플랫폼), Seedify(블록체인 플랫폼) 등이 있다"며 "현재까지 북한 소행으로 추정되는 30건 이상의 추가 해킹사건을 확인했다"고 밝혔다.</p> <p contents-hash="cade09195c4f40a8c50ef7e6a1c354248d14d78812943b6e559c107f6332c968" dmcf-pid="qqdB7YNd5I" dmcf-ptype="general">한국을 포함해 호주, 캐나다, 프랑스, 독일, 이탈리아, 일본, 네덜란드, 뉴질랜드, 영국, 미국 등 11개국이 참가하고 있는 MSMT(다자간 제재 감시팀)은 올 10월 '사이버 공격을 통한 북한의 유엔 제재 위반 및 회피'라는 보고서를 통해 "북한은 IT 인력 파견과 사이버 작전을 통해 유엔 안전보장이사회 결의 위반과 관련한 회피 활동을 체계적으로 수행하고 있다"며 "북한은 대량살상무기 및 탄도미사일 프로그램의 불법 개발 등 북한의 우선 순위를 위한 수익을 창출한다"고 지적했다.</p> <p contents-hash="9f4e17b449f6e7b3eb08eb907592177ee4459f638b6a7f26b9cf52e174818515" dmcf-pid="BBJbzGjJtO" dmcf-ptype="general">또 "북한 해커들이 전 세계 유엔 회원국 관할 구역에 등록된 다양한 가상자산 서비스를 이용해 도난한 가상자산을 세탁한 후 궁극적으로 법정 화폐로 전환하려 시도한다"며 "북한은 해외 거주 북한 국적자와 중국, 러시아, 아르헨티나, 캄보디아, 베트남, 아랍에미리트 등 해외 기반 중재자 네트워크에 의존하고 있다"고 했다.</p> <figure class="figure_frm origin_fig" contents-hash="30373f906ffdb10fe90005aeaaeb1244ac84c102b0b45e74c2322c775d7a0bb6" dmcf-pid="bbiKqHAiYs" dmcf-ptype="figure"> <p class="link_figure"><img alt="임종철 디자이너 /사진=임종철 디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204055517ufjq.jpg" data-org-width="560" dmcf-mid="1IgiebTsGG" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204055517ufjq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 임종철 디자이너 /사진=임종철 디자이너 </figcaption> </figure> <div contents-hash="d111cc9178c7b8132d0b0e5738458bde78731f6dfa5324823ccc8aebd99112fb" dmcf-pid="KKn9BXcnYm" dmcf-ptype="general"> <div></div> <div></div> <div> ━ </div> <strong>업비트도 북한 소행으로 의심하는 이유는?</strong> <div> ━ </div> <div></div> <div></div>업계에서는 이번 업비트에서 445억원 가량의 가상자산을 탈취한 것도 북한 측 해커 그룹, 특히 라자루스의 소행일 가능성이 높다고 보고 있다. MSMT는 북한 정찰총국이 △110연구소 △63연구센터 △970사무국 등으로 불리는 사이버공격 조직을 운용하고 있다고 분석했다. 라자루스(Lazarus) 그룹은 이 중 110연구소 소속 4개 조직을 통칭하는 것으로 전해졌다. </div> <p contents-hash="7dc4b964ca8393dd746e849fbe1b5e3e6aa42b52f3f06f542ffdc33e8865589f" dmcf-pid="99L2bZkLZr" dmcf-ptype="general">라자루스 그룹은 2009년 등장한 이후 초기에는 한국을 대상으로 한 디도스(DDoS, 분산서비스거부) 공격 등을 주로 펼쳐오다가 2014년 소니픽쳐스 해킹 사건으로 이름을 떨쳤다. 당시 소니픽쳐스는 '더 인터뷰'라는 영화를 개봉하려 했다. 김정은 북한 노동당 총비서를 희화화해 암살하는 내용의 영화였다. 당시 해커 그룹이 소니픽쳐스에서 100테라바이트가 넘는 데이터를 훔쳤다고 주장했고 '더 인터뷰' 영화를 상영하는 영화관에 대해 테러 공격을 가하겠다고 위협하기도 했다. </p> <p contents-hash="8ff2741033dacd72127dd4aa3b898523caa3f21fadd67f826d9053bddb210b55" dmcf-pid="22oVK5Eotw" dmcf-ptype="general">이후에는 대규모 사이버 스파이 활동이나 가상자산 탈취 등 금융 공격, 대규모 파괴적 공격 등을 수행하고 있다. 국내에서도 2023년 금융보안 소프트웨어 취약점을 악용해 다수 기업을 공격하기도 했다.</p> <div contents-hash="c81b2eeb7bdc155da97506da8cdf5d6e7f152d9195ecb08f87310dd45e15542a" dmcf-pid="VVgf91DgZD" dmcf-ptype="general"> 이번 업비트 사건에 대해 국가정보원, 금융감독원과 경찰, 한국인터넷진흥원(KISA) 등이 현장 조사에 나섰다. 라자루스는 2019년 11월에도 업비트 해킹을 통해 580억원 가량의 가상자산을 탈취한 바 있다. 업계에서는 이번 업비트에 대한 해킹이 6년 전과 유사하다는 점 등을 이유로 라자루스를 지목하고 있다. <br> </div> <figure class="figure_frm origin_fig" contents-hash="a75277537f4f3f20101b39f67e90abacf6e28deab39e28bd621cc8711fc7c4f0" dmcf-pid="ffa42twaYE" dmcf-ptype="figure"> <p class="link_figure"><img alt="/삽화=김현정디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204056782fpvg.jpg" data-org-width="560" dmcf-mid="t3vjg8ZvXY" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/28/moneytoday/20251128204056782fpvg.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> /삽화=김현정디자이너 </figcaption> </figure> <div contents-hash="e0a9d443ab8ab29edf063ab4e56cbcf901584b073d9db7336a721f2345d6a1d0" dmcf-pid="44N8VFrNtk" dmcf-ptype="general"> <br> <div></div> <div></div> <div> ━ </div> <strong>김수키·안다리엘 등도 북한 배후... 공통점은 정찰총국</strong> <div> ━ </div> <div></div> <div></div>라자루스 외에도 김수키(Kimsuky) 안다리엘(Andariel) 등 유명 해커 그룹 역시 북한 정찰총국 관할 그룹인 것으로 알려진다. MSMT는 김수키에 대해 정찰총국이 관리하는 63연구센터 소속 해커그룹 3곳 중 하나라고 본다. 김수키는 주로 외교·정치 등과 관련한 정보 수집에 특화된 조직으로 알려졌지만 피싱을 기반으로 기관·기업 시스템에 침투해 자격증명을 탈취한 후 가상자산 탈취 등의 범죄를 저지르는 것으로 알려졌다. </div> <p contents-hash="eaec8a02fd274523094bf9467562808b57feba96734dea37cb92676ad0189497" dmcf-pid="88j6f3mjGc" dmcf-ptype="general">안다리엘은 대규모 랜섬웨어 공격을 주로 하는 북한 해커 그룹으로 알려졌다. MSMT는 2013년 3월 국내 다수 은행과 방송사 전산망을 마비시킨 '다크서울'(Dark Seoul)이 안다리엘 소행이라고 지목했다. 안다리엘은 미국 병원 등 주요국 의료기관을 비롯해 국방, 항공우주, 핵 관련 주요 기관을 표적으로 한 해킹을 주로 벌이는 조직이라고 평가됐다. 안다리엘 역시 북한 정찰총국 산하조직인 970사무국 소속이라는 게 MSMT의 설명이다.</p> <p contents-hash="2be7bde66fd48ec011dfbbecefd225f2877c0fcbfad15805100fb6e559ecf58d" dmcf-pid="66AP40sAXA" dmcf-ptype="general">황국상 기자 gshwang@mt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 검은 슈트 입은 박보검의 ‘침묵’… 100명 사망 비극 덮친 홍콩, 축제 대신 ‘애도’ 11-28 다음 전태연 알테오젠 부사장 ‘바이오산업 발전 유공자’ 산업부 장관표창 수상 11-28 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
