한국 당국은 북한의 라자루스(Lazarus) 해킹 조직이 국내 최대 암호화폐 거래소에서 3,600만 달러를 탈취한 공격을 주도했는지 여부를 수사하고 있다. 이번 공격은 같은 국가 지원 조직에 의해 발생한 것으로 알려진 이전 대형 보안 사고가 발생한 지 정확히 6년 되는 날에 일어났다.
Upbit은 목요일, 약 445억 원(3,600만 달러) 규모의 솔라나 기반 자산이 핫월렛에서 외부의 알 수 없는 주소들로 무단 이체된 사실을 포착한 뒤 입출금을 중단했다.
이번 침해는 11월 27일 오전 4시 42분경(현지 시각)에 발생했으며, 즉시 비상 프로토콜이 가동되었고 플랫폼 전체 거래 서비스가 동결됐다.
정부와 업계 관계자들은 연합뉴스에, 지갑 자금 흐름과 침입 경로를 분석한 결과 공격자가 관리자 계정을 탈취했거나 내부 운영자를 가장해 이체를 승인했을 가능성을 의심하고 있다고 전했다. 이는 2019년 3억4,200만 개 ETH(당시 5,000만 달러 상당)가 탈취됐던 사건과 유사한 수법으로, 해당 공격 역시 라자루스와 북한 연계 조직 **안다리엘(Andariel)**과 연관된 것으로 추후 지목된 바 있다.
사건 경위
이번 침해는 SOL, USDC, BONK, Jupiter, Raydium, Render, Orca, Pyth Network 등 20개가 넘는 솔라나 생태계 토큰에 영향을 미쳤다. 업비트를 운영하는 **두나무(Dunamu)**는 무단 출금을 인정하고, 거래소의 운영 준비금으로 고객 피해를 전액 보상하겠다고 약속했다. 회사는 한국의 가상자산 이용자 보호법에 따라 9월 기준 해킹·시스템 장애 대비 준비금으로 670억 원을 보유하고 있다고 보고했다.
두나무의 오경석 대표는 성명을 통해 “유출된 디지털 자산의 정확한 규모를 파악했으며, 고객에게 영향이 가지 않도록 업비트 자체 자산으로 전액 보전하겠다”고 밝혔다. 거래소는 남은 자산을 콜드월렛으로 옮겨 추가 출금을 차단하는 한편, 포렌식 팀이 조사를 진행하고 있다.
업비트는 온체인 조치를 통해 약 23억 원(160만 달러) 규모의 Solayer 토큰을 동결했으며, 추가로 추적 가능한 자산을 묶기 위해 각 토큰 발행사와 공조 중이다. 보안 당국에 따르면 블록체인 포렌식 업체들은 다수의 지갑을 경유한 고속 이체와 믹싱 패턴을 포착했으며, 이는 과거 라자루스의 세탁 방식과 유사한 양상을 보인다.
한 정부 관계자는 연합뉴스에 “서버 자체를 공격했다기보다는 관리자 계정을 탈취했거나 관리자로 위장해 이체를 실행했을 가능성이 있다”고 설명했다. 이는 인프라 직접 공격보다는 계정 탈취·조작에 초점을 둔 수법으로, 기존 라자루스 작전과의 유사성을 뒷받침한다.
과학기술정보통신부, 금융위원회 등 감독당국은 업비트 시스템에 대한 현장 점검에 착수했으며, 특히 핫월렛 키 관리와 내부망 보안 체계를 집중적으로 들여다보고 있다. 거래소는 디지털 자산 입출금 시스템 전반에 대한 정밀 점검을 진행 중이며, 안전성이 검증되는 대로 순차적으로 서비스를 재개하겠다고 밝혔다.
블록체인 보안업체 CertiK는 출금의 속도와 규모가 과거 라자루스 연계 공격과 흡사하다고 평가했지만, 아직 결정적인 온체인 증거는 확보하지 못했다고 전했다. CertiK는 솔라나 상에서 공격자로 추정되는 100개 이상의 주소 자금 흐름을 추적 중이며, 라자루스 세탁 네트워크와의 연계를 파악하기 위해 모니터링을 이어가고 있다.
공격 시점도 해커의 의도를 둘러싼 추측을 키우고 있다. 침해는 한국 인터넷 대기업 네이버의 금융 자회사 네이버파이낸셜이 두나무 지분 100%를 인수하는 103억 달러 규모 주식 맞교환 딜을 발표한 바로 그날 발생했다. 이 합병으로 두나무는 완전 자회사가 되며, 한국 가상자산 업계에서 가장 중대한 기업 거래 중 하나로 평가된다.
한 보안 전문가는 연합뉴스에 “해커들은 과시욕이 강한 경향이 있다”며, 공격자가 대형 합병 발표에 맞춰 11월 27일을 선택해 주목도를 극대화하려 했을 수 있다고 분석했다. 이날은 2019년 업비트 해킹이 벌어진 지 정확히 6주년이 되는 날짜이기도 했다.
또 읽어보기: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
왜 중요한가
업비트 해킹은 기록적인 수준으로 치닫고 있는 2025년 암호화폐 보안 사고들에 새롭게 추가된 사례다. 올해 해킹 및 익스플로잇으로 인한 손실 규모는 이미 24억 달러를 넘어섰으며, 그중 2월에 발생한 15억 달러 규모의 바이빗(Bybit) 거래소 해킹이 큰 비중을 차지했다. 역대 최대 규모로 꼽히는 이 Bybit 공격 역시 북한 라자루스 그룹 소행으로 지목됐다.
블록체인 보안업체 CertiK에 따르면, 2025년 상반기에만 해킹·사기·익스플로잇으로 인한 손실은 24억7,000만 달러에 달해, 2024년 한 해 동안 탈취된 24억 달러보다 약 3% 증가했다. 이 중 월렛 탈취가 가장 비용이 큰 공격 벡터로 떠올라, 34건의 사건에서 17억 달러 이상이 도난당했다. 사건 수 기준으로는 피싱 공격이 132건으로 가장 많았고, 피해액은 4억1,000만 달러 수준이다.
라자루스 그룹은 거래소 침입에서 공급망 공격, 개발 환경 침해에 이르기까지 다양한 수법을 반복적으로 구사해왔다. 이들은 맞춤형 악성코드 클러스터, 사회공학 기법, 대규모 자금 세탁 인프라를 동원해 탈취한 암호화폐를 여러 체인의 믹서·브리지를 통해 흐리며, 안보 전문가들은 외화 부족에 시달리는 북한 정권이 이러한 암호화폐 탈취 자금을 체제 유지 활동에 활용하고 있다고 지적한다.
2019년 업비트 해킹 조사에서 수사당국은, 탈취된 ETH의 절반 이상이 도용 신원으로 생성된 거래소 계정을 통해 세탁됐다고 결론지었다. 이 과정에서 지갑을 계속 갈아타는 ‘월렛 호핑’과 믹싱 등 라자루스 특유의 기법이 사용됐다. 이 그룹은 파급력과 노출 효과를 극대화하기 위해 대형 가상자산 플랫폼을 집중적으로 노려왔으며, 대중의 관심이 높은 시점을 노려 공격을 감행하는 경향도 보인다.
한 보안 관계자는 “여러 네트워크에 토큰을 분산시켜 추적을 끊어내는 것이 이들의 전형적인 방식”이라고 말했다. 블록체인 분석업체 Dethective는 용의자 지갑들이 이미 자금 이동을 시작했으며, 세탁 과정이 개시된 것으로 보인다고 보고했다.
이번 업비트 침해는 운영 편의를 위해 항상 온라인 상태로 유지되는 핫월렛 인프라의 구조적 취약성을 다시 부각시켰다. 거래소 자산의 대부분을 보관하는 콜드월렛은 안전했지만, 실제 거래와 출금을 처리하는 핫월렛은 여전히 고도화된 공격자들에게 매력적인 표적이다. 수차례 보안 감사를 거친 오래된 플랫폼조차 예외는 아니며, 11월에 발생한 1억2,800만 달러 규모 Balancer 프로토콜 해킹은 위협 범위가 얼마나 넓은지를 잘 보여준다.
업비트가 자체 운영 준비금으로 고객 피해를 전액 보전할 수 있다는 점은 일정 부분 안도감을 주지만, 거래소와 두나무 입장에서는 네이버파이낸셜과의 통합 작업이 한창인 시점에 막대한 직접 재무 손실을 떠안게 된 셈이다. 이번 인수는 향후 5년간 10조 원을 인공지능과 웹3 인프라 개발에 투입하겠다는 전략의 일환으로 포지셔닝돼 왔으며, 인수 발표 직후 발생한 해킹은 새로 출범할 통합 법인에 부담스러운 출발점이 되고 있다.
당국은 블록체인 분석을 통해 도난 자산을 추적하는 한편, 업비트 보안 인프라에 대한 디지털 포렌식을 병행하고 있다. 거래소는 입출금 재개 일정에 대해 구체적인 시점을 제시하지 않았으며, 이 정도 규모의 사고 이후 진행되는 보안 감사는 조사 결과에 따라 보통 수일에서 그 이상이 소요된다.
다음 읽기: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users