지난해 국내서 발생한 가상화폐거래소 해킹 사건에 북한이 가담한 것으로 확인됐다. 핵실험 강행으로 국제 사회 제재를 받은 북한이 가상화폐를 탈출구로 삼았다.
국가정보원은 5일 지난해 북한이 국내 가상화폐거래소 거래 회원을 대상으로 해킹을 시도했고 수백억원을 탈취했다고 밝혔다. 국정원이 가상화폐 해킹 공격자로 북한을 공식 인정한 것은 이번이 처음이다.
김병기 더불어민주당 의원은 이날 정보위원회 전체회의에서 “(국정원이) 북한이 (거래소) 회원을 대상으로 해킹 메일을 유포해 상당수 회원의 비밀번호를 절취한것을 파악했다”면서 “일부 거래소의 경우 수백억원 상당의 가상화폐를 탈취 당했다”고 밝혔다.
국정원에 따르면 북한은 국내 유명업체의 백신을 무력화하는 공격을 사용했다. 이메일과 SNS를 활용한 해킹도 시도했다. 국정원은 북한이 가상화폐 등 금전을 탈취하는 등 인터넷을 통한 다양한 해킹 시도를 지속할 것으로 예상했다. 국정원은 가상화폐 피해 상황을 개인에게 통보했는지 여부에 대해서는 보고하지 않았다.
정부가 북한의 해킹에 의한 가상화폐 탈취를 공식 인정한 것은 처음이다. 그동안 북한의 가상화폐 해킹 우려가 꾸준히 제기됐다. 북한은 국제사회의 대북 제재 강화에 따라 외화 벌이 여건이 악화되자 가상화폐 해킹 시도를 확대한다.
보안업계는 지난해 계속된 가상화폐 거래소와 이용자 대상 해킹 배후로 북한을 지목했다. 거래소에 보내진 스피어피싱 이메일에서 발견된 악성코드가 과거 북한이 쓰던 것과 일치하는 탓이다. 최근 분석에 따르면 북한은 국내를 넘어 글로벌 거래소까지 공격을 확대했다.
경찰청 사이버안전국은 지난해 9월 북한이 국내 가상화폐 거래소를 대상으로 해킹을 시도했다고 밝혔다. 경찰은 북한 인터넷 주소가 해킹 경로에 활용됐다고 공식 발표했다. 거래소 해킹 조사과정에서 나온 악성코드가 과거 북한발 해킹 사건에 쓰인 IP가 재사용됐다. 경찰은 한국 가상화폐거래소 4개 업체 25명에게 정부 당국을 사칭한 전자우편이 발송됐다고 밝혔다.
미국 정부와 글로벌 보안 기업은 지난해 5월 세계를 강타한 '워너크라이' 랜섬웨어 배후로도 북한을 지목했다.
김인순 보안 전문기자 insoon@etnews.com, 최호 산업정책부기자 snoop@etnews.com
