빗썸 해킹 사건으로 탈취된 암호화폐 종류와 수량 출처: 빗썸 사이트
빗썸 해킹 사건으로 탈취된 암호화폐 종류와 수량 출처: 빗썸 사이트

암호화폐거래소 빗썸에서 발생한  해킹 사건을 둘러싸고 논란이 끊이지 않고 있다. 해킹 사건의 배후를 놓고 북한, 중국 해커라는 관측이 나오고 있지만 정확한 실체는 드러나지 않고 있다. 사건의 원인을 놓고도 이메일 해킹에 당한 것이라는 소문이 무성하다. 피해 규모 역시 빗썸이 당초 알려진 350억 원이 아니라 190억 원이라고 밝혀 의문을 자아내고 있다.

29일 관련 업계에 따르면 빗썸은 28일 공지를 통해 20일 해킹 사건으로 인한 피해 금액이 190억 원으로 잠정 집계됐다고 밝혔다.

앞서 20일 빗썸은 해킹을 당한 사실을 공개하면서 350억 원 규모의 피해가 있었다고 설명했다. 빗썸은 암호화폐 재단 및 전 세계 거래소와 협업해 모든 암호화폐의 콜드 월렛 보관 조치를 신속하게 취해 탈취될 것으로 예상됐던 금액 중 일부를 보존할 수 있었다고 해명했다. 또 추가 피해 방지와 회수 작업을 계속 진행 중이라고 덧붙였다.

빗썸에 따르면 탈취된 암호화폐는 11종이다. 비트코인 2016개, 비트코인 캐시 692개, 이더리움 2219개, 엘프 40만9962개, 에토스 4만2700개, 골렘 101만5090개, 에이치쉐어 6240개, 카이버네트워크 5만개, 오미세고 300개, 비체인 420개, 리플 522만7490개다. 27일 16시 기준으로 한화 189억4591만1857원 규모다.

빗썸은 탈취된 암호화폐를 회사 자산으로 채워놓을 것이라며 고객 피해는 없다고 주장하고 있다. 또 피해규모도 당초 알려진 것보다 적다고 해명 중이다. 

하지만 현재 거래소가 완전히 보안조치가 된 것인지 여부는 미지수다. 빗썸은 여전히 암호화폐 입금 중단을 고객들에게 요청하고 있다. 28일 빗썸은 공지에서 “암호화폐 유출 피해가 발생하지 않도록 입금을 즉각 중대해 주길 바란다”고 밝혔다. 

일각에서는 빗썸 해킹 사건이 알려진 후 전체적으로 암호화폐 가치가 하락한 것이 피해 규모 축소에 영향을 준 것이 아니냐는 시각도 있다. 이에 빗썸 측은 가치 하락은 제한적이라고 주장하고 있다.

빗썸 관계자는 “20일 사건이 발생했던 시점과 27일 시점에 암호화폐 가치 변동이 있는 것은 사실이지만 큰 차이는 없다. 피해규모가 줄어든 것은 공지한 바와 같이 재단, 거래소 등과 빗썸이 협력해서 이뤄진 것”이라고 말했다.

북한 or 중국 해커 소행?

빗썸 해킹 사건의 배후와 원인을 놓고도 소문이 무성하다. 미국 보안업체 에일리언볼트는 6월 22일 사이트 공지를 통해 빗썸 해킹 사건이 라자루스 그룹(Lazarus Group)과 관련됐을 수 있다고 주장했다.

악성코드를 첨부한 이력서 파일 모습 출처:에일리언볼트
악성코드를 첨부한 이력서 파일 모습 출처:에일리언볼트

라자루스는 2014년 소니픽처스 해킹과 2013년 한국의 해킹을 주도한 조직으로 알려져 있다. 일부 전문가들은 2017년 5월 전 세계 150개국 30여만대의 PC를 감염시킨 랜섬웨어 ‘워너크라이’의 배후로 라자루스를 지목하기도 했다. 한국, 미국 정부와 보안업체에서는 라자루스를 북한 해커 그룹으로 보고 있다. 이에 빗썸 해킹 사건이 북한 소행이라는 지적이 나오고 있다.

에일리언볼트는 5월부터 6월초까지 한국 금융당국, 이력서 등을 위장한 한글 파일(HWP)에 악성코드가 첨부돼 유포됐다고 설명했다. 여기에 사용된 악성코드가 라자루스와 관련이 있다는 것이다. 에일리언볼트는 빗썸 해킹에 대한 책임을 확신할 수는 없지만 의심이 된다고 밝혔다.

앞서 21일 보안업체 하우리는 이력서를 위장한 악성코드 한글문서에 주의할 것을 당부한 바 있다. 이 악성코드는 “신OO 전산담당 경력.hwp” 파일명으로 유포됐으며 한글 문서파일을 실행하면 정상적인 이력서 화면이 출력돼 감염사실을 숨긴다. 바로 이 악성코드가 에일리언볼트가 지적한 악성코드와 같은 것으로 알려지고 있다.

일부에서는 2017년 빗썸 고객 암호화폐 인출 사건에도 라자루스가 개입했으며 그 때 축적한 정보와 노하우를 활용해 이번 해킹을 일으켰다는 분석도 나오고 있다.

반면 일각에서는 중국 해커의 소행이라는 이야기도 나온다. 크립토뉴스, 아시아크립토투데이 등 외신들은 27일 빗썸 해킹 사건을 일으킨 범인들의 근거지가 중국 동북 지방이라고 보도했다. 랴오닝성, 지린성, 헤이룽장성 등에 있는 해커들이 이번 사건을 일으켰다는 것이다. 이들 동북 3성에는 한국말이 가능하고 한국을 잘 아는 중국동포들이 다수 거주하고 있다.

이에 대해 피해 당사자인 빗썸과 조사를 진행 중인 한국인터넷진흥원(KISA)은 말을 아끼고 있다. KISA 관계자는 “조사 중인 사안으로 언급할 것이 없다”고 말했다. 빗썸 관계자 역시 “기사를 봤지만 그에 대해 조사가 진행 중으로 언급하기 어렵다”고 말을 아꼈다.

실제 보안 전문가들은 IP주소(인터넷주소) 위치나 소스코드 유사성만으로 섣불리 배후를 특정하기는 어렵다고 지적한다. IP주소는 조작이 가능하고 소스코드는 자신들의 정체를 숨기기 위해 일부러 가져다 쓸 수 있기 때문이다. 

해킹 방식에 대해서도 여러 관측이 나오고 있다. 앞서 설명한 HWP 파일을 통한 해킹 이메일 공격 가능성이 제기되고 있다. 지난해 거래소 직원들을 대상으로 한 해킹 이메일이 공격이 있었는데 이번 사건이 그 연장선에 있다는 것이다. 또 한편에서는 빗썸 외주 직원의 PC가 해킹을 당했다는 이야기도 나오고 있다. 해킹 원인은 이번 사건의 책임 소재와도 관련된 민감한 사안이다.

그러나 원인이나 배후에 대해 아직 명확히 드러난 것은 없다. 이처럼 오리무중인 상황에서 추측만 무성한 것이다. 이에 따라 암호화폐 거래자들과 업계는 불안해하고 있다. 25일에는 업비트가 해킹을 당했다는 소문이 돌아 해킹설이 거짓이라고 해명하는 해프닝도 있었다.

이번 사건을 조사 중인 KISA와 경찰 그리고 피해자인 빗썸이 사건 실체를 공개하기 전까지 당분간 이같은 혼선이 지속될 것으로 보인다.

 

 

키워드

#빗썸해킹 #암호화폐해킹 #거래소해킹 #빗썸
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지