국내 최대 가상자산 거래소 업비트에서 약 445억 원 규모의 디지털 자산이 유출되는 대형 해킹 사고가 발생했다.
지난 2019년 업비트 이더리움 탈취 사건 이후 정확히 6년 만에 유사한 방식의 공격이 재발하면서, 금융당국과 보안기관은 북한 해킹조직 ‘라자루스’를 핵심 용의 선상에 올려 조사에 착수했다.
이번 공격은 솔라나(SOL) 기반 지갑을 정조준했다. 여러 업비트 솔라나 지갑에서 자산이 빠져나간 뒤 하나의 지갑으로 모이고, 다시 수십 개 주소로 쪼개지는 ‘호핑’ 패턴이 포착됐다. 유출된 자산 상당수는 랩트솔라나(WSOL)로 변환됐으며, 일부는 이더리움(ETH)으로 교환되는 등 믹싱과 현금화 준비 과정으로 해석되는 움직임도 있었다. 글로벌 거래소 바이낸스로 이동한 흐름도 확인돼 추적 난도가 급격히 높아졌다는 분석이다.
두나무는 회원 피해를 약 386억 원으로 산정하고 23억 원은 외부에서 동결했다고 밝혔다. 전체 피해액 445억 원 가운데 회사 자산 59억 원을 포함해 모든 손실은 이미 두나무 자체 보유분으로 보전된 상태다. 오경석 두나무 대표는 “보안 관리 미흡에 책임을 통감한다”며 지갑 시스템 전면 개편과 입출금 재개 준비에 들어갔다고 설명했다.
이번 침해는 단순한 지갑 접근 권한 탈취를 넘어 암호학적 취약점 가능성까지 제기되고 있다. 보안 전문가들은 솔라나 기반 서명 과정에서 생성된 ‘논스(Nonce)’ 값에 통계적 편향이 있었을 가능성을 언급했다. ECDSA 서명 체계에서 논스가 불완전할 경우 다량의 서명 데이터를 수집하는 것만으로 개인 키를 역추적할 수 있는데, 업비트의 특정 서명 패턴이 이를 노출했을 수 있다는 것이다.
라자루스 의혹이 유력하게 거론되는 이유는 여러 정황이 겹친다. △핫월렛을 노린 공격 구조 △탈취 코인을 수백 개 지갑으로 분산한 뒤 믹싱을 반복하는 방식 △6년 전 업비트 해킹과 동일한 날짜(11월 27일)에 공격이 이뤄진 점 △두나무–네이버파이낸셜 합병 발표 당일이라는 상징성 등이 모두 기존 라자루스의 행동 패턴과 부합한다. 라자루스는 올해만 글로벌 주요 거래소에서 수조 원 규모의 디지털 자산을 탈취한 전력이 있다.
다만 모든 가능성을 열어두어야 한다는 의견도 있다. 최근 고도화된 범죄조직들은 국가급 공격 수법을 모방하고 있어, 배후 특정에는 추가 분석이 필요하다는 지적이다. 그럼에도 국내 당국이 북한 연계 가능성을 높게 보는 이유는 공격 방식·시간·자금 이동 루틴이 과거 라자루스 사례와 거의 동일하기 때문이다.
이번 사고는 가상자산 산업 전반의 구조적 보안 위기를 다시 드러냈다. 전문가들은 특히 “현재 ECDSA 기반 서명 구조는 미세한 무작위성 결함만 있어도 대규모 키 유출 위험을 초래할 수 있다”며 양자컴퓨팅 시대를 대비한 포스트퀀텀(PQC) 기반 보안 전환이 시급하다고 강조한다. ‘지금 훔쳐서 나중에 복호화(Harvest Now, Decrypt Later)’ 전략을 구사하는 북한 해커 특성상 위험은 더 커지고 있다는 지적도 나온다.
금융감독원·금융보안원·KISA·경찰청은 현장 점검과 내사 절차를 동시에 진행하고 있으며, 가상자산이용자보호법 위반 여부도 함께 들여다보고 있다. 업계에서는 이번 사고가 향후 두나무–네이버파이낸셜 합병 심사에도 영향을 줄 수 있다는 전망이 나오는 등 파장이 확산되는 모습이다.
업비트 측은 “안정성 검증을 마친 뒤 단계적으로 입출금을 재개하겠다”고 밝혔지만, 6년 만에 반복된 대형 사고는 국내 가상자산 시장의 보안 신뢰도에 적지 않은 타격을 준 상태다.
[블록체인&스포츠 전문 기자 Dragon Cho]
