[단독]北해커조직은 왜 국내 암호화폐 거래소로 코인을 보냈나

[2020 서울신문 탐사기획-암호화폐 범죄를 쫓다 <1>대박 신화의 배신] 北 라자루스 송금 첫 확인

美 재무부의 감시 대상 국내로 총 세 차례 송금
코인 총액은 3454만원…마약 거래 주소도 이용

북한 해커 조직인 라자루스(Lazarus)가 국내 암호화폐 거래소로 상당한 규모의 비트코인을 송금한 내역이 처음으로 확인됐다. 국내 송금에 사용된 라자루스의 전자지갑 주소는 미국 재무부 해외자산통제국(OFAC)이 제재 대상으로 적시한 20개 지갑주소 중 하나로 중국 국적자 명의로 개설된 것이었다.

28일 블록체인 보안업체 S2W랩에 따르면 라자루스의 국내 송금 이력은 총 세 차례 포착됐다. 북한 정찰총국 산하의 해커 조직으로 알려진 라자루스는 미 재무부가 지난해 9월 특별 제재 대상으로 발표한 북한의 3개 해킹 그룹 중 하나다.

라자루스의 국내 거래소 송금 시점은 2018년 7월에 발생했다. 첫 송금은 그달 13일 라자루스가 중국 암호화폐 거래소인 후오비에서 개설한 전자지갑(1AX*****)으로부터 국내 C거래소의 한 주소로 2.4BTC(당일 기준 1692만원)가 전송됐다. 두 번째 송금은 같은 달 29일로 액수는 적었다. 동일한 지갑 주소에서 C거래소의 동일 지갑으로 0.025BTC(약 22만 9000원)가 전송됐다. 이 두 차례 송금의 가장 큰 특징은 라자루스가 국내 거래소 지갑에 직통으로 보냈다는 점이다.


세 번째 전송된 비트코인은 중국 마약 거래 사이트를 거쳐 국내 거래소로 유입됐다. 같은 달 23일 동일한 지갑으로부터 0.033BTC(약 27만 5000원)가 중국 마약 조직이 쓰던 두 개의 비트코인 주소로 전송됐다. 같은 달 30일 그중 한 주소에서 0.19BTC(약 1740만원)가 국내 거래소의 한 지갑으로 송금됐다. 이 지갑 주소가 다크웹의 마약 거래와 연관된 블랙리스트 주소라는 점에서 라자루스가 관여한 것인지는 불분명하다.

국내로의 비트코인 송금 총액은 2.615BTC(약 3454만원)다. 서상덕 S2W랩 대표는 “북한 해커 조직이 국내 거래소를 자금세탁 경로로 활용한 것으로 추정하지만 특정 용도의 자금을 국내의 누군가에게 보냈을 가능성도 배제할 수 없다”고 말했다. 국내 송금 시점이 미 법무부가 같은 해 9월 북한 국적의 해커 박진혁(36)을 사이버 공격 혐의로 기소하기 직전이었다는 점에서 연관성이 주목된다. 박진혁은 현재까지 유일하게 신원이 공개된 라자루스 소속 해커로 2014년 소니픽처스 해킹과 2016년 방글라데시 중앙은행 공격을 주도한 혐의를 받고 있다.

미 블록체인 보안업체인 체이널리시스는 최근 공개한 ‘2020 암호화폐 범죄보고서’에서 “라자루스가 지난해 3월 싱가포르 암호화폐 거래소 ‘드래건엑스’를 해킹해 700만 달러를 빼돌렸다”고 밝혔다.



안동환 기자 ipsofacto@seoul.co.kr