업비트 해킹한 북한 해킹조직 라자루스란?? - SeNewsFam

업비트 해킹, 그 뒤에 숨은 그림자: 북한 해킹 조직 라자루스의 모든 것

목차

• 서론: 되풀이된 악몽, 11월 27일의 데자뷔
• 라자루스(Lazarus)는 누구인가?
  • 정찰총국 소속의 사이버 부대
  • 전통적 사이버전에서 디지털 강도로의 진화
• 왜 암호화폐를 노리는가?
• 라자루스의 공격 시나리오: 어떻게 훔치는가?
  • 1단계: 인간의 신뢰를 노리는 '소셜 엔지니어링'
  • 2단계: 취약점을 파고드는 기술적 공격
  • 3단계: 흔적을 지우는 자금 세탁 기술
• 2025년 업비트 해킹: 우연인가, 계획된 과시인가?
• 단순한 절도를 넘어선 국가 안보 위협
• 결론: 끝나지 않은 전쟁

서론: 되풀이된 악몽, 11월 27일의 데자뷔

2025년 11월 27일 새벽, 대한민국 최대 암호화폐 거래소 업비트에서 약 445억 원(약 3,690만 달러) 규모의 암호화폐가 흔적도 없이 사라졌습니다. 언론 보도에 따르면, 이 사건은 솔라나(Solana) 기반 자산들이 보관된 핫월렛(Hot Wallet)에서 발생했습니다. 투자자들을 더욱 소름 돋게 만든 것은 날짜였습니다. 정확히 6년 전인 2019년 11월 27일, 업비트는 약 580억 원 상당의 이더리움을 도난당한 적이 있습니다. 당시 사건의 배후로 지목된 것은 바로 북한의 해킹 조직, 라자루스(Lazarus)였습니다.

우연이라기엔 너무나 기묘한 이 반복된 사건은 암호화폐 시장 전체에 다시 한번 공포의 그림자를 드리웠습니다. 금융 당국과 보안 전문가들은 이번에도 라자루스의 소행일 가능성에 무게를 두고 조사를 진행하고 있습니다. 한국일보 등 다수 매체는 공격 수법의 유사성을 근거로 라자루스를 유력한 용의자로 지목했습니다. 그렇다면, 전 세계 금융 시스템을 위협하는 이 유령 같은 조직, 라자루스는 과연 어떤 존재일까요?

라자루스(Lazarus)는 누구인가?

정찰총국 소속의 사이버 부대

라자루스는 단순한 해커 집단이 아닙니다. 미국 재무부 해외자산통제국(OFAC)에 따르면, 이들은 북한의 정찰총국(RGB) 소속으로, 국가의 직접적인 지원을 받는 사이버 부대입니다. 미 재무부는 2019년 라자루스를 공식 제재하며 이들이 북한 정부의 통제하에 움직이는 조직임을 명시했습니다. 2007년경 창설된 것으로 추정되며, 초기에는 군사 기밀 탈취나 사회 기반 시설 교란과 같은 전통적인 첩보 활동에 주력했습니다.

이들은 '블루노로프(Bluenoroff)', '안다리엘(Andariel)' 등 여러 하위 그룹을 두고 활동하는 것으로 알려져 있습니다. 블루노로프는 금융 범죄에 특화되어 외화벌이를 담당하고, 안다리엘은 주로 한국의 정부 및 군사 기관을 목표로 정보 수집과 파괴 공작을 수행합니다.

전통적 사이버전에서 디지털 강도로의 진화

라자루스가 전 세계에 악명을 떨치기 시작한 것은 2014년 소니 픽처스 해킹 사건이었습니다. 김정은 위원장을 풍자한 영화 '인터뷰'의 개봉을 막기 위해 소니의 내부 데이터를 파괴하고 임직원 정보를 유출한 이 사건은 국가가 배후인 사이버 공격의 파괴력을 여실히 보여주었습니다.

2016년, 라자루스는 방글라데시 중앙은행을 해킹해 국제은행간통신협회(SWIFT) 망을 통해 8,100만 달러(약 1,000억 원)를 훔치는 데 성공했습니다. 이는 국가 주도 사이버 범죄가 막대한 금전적 이득을 취할 수 있음을 증명한 충격적인 사건이었습니다. 출처: Wikipedia

이후 2017년에는 전 세계 150개국 20만 대 이상의 컴퓨터를 감염시킨 워너크라이(WannaCry) 랜섬웨어 사태의 배후로 지목되며, 금전을 목적으로 한 대규모 사이버 테러도 서슴지 않음을 보여주었습니다. 이러한 일련의 사건들을 통해 라자루스는 첩보 활동을 넘어, 국제 사회의 제재를 우회하고 정권 유지 자금을 확보하기 위한 '디지털 강도'로 변모해왔습니다.

왜 암호화폐를 노리는가?

강력한 경제 제재로 외화벌이가 막힌 북한에게 암호화폐는 그야말로 '완벽한 목표물'이었습니다. 암호화폐는 다음과 같은 특징 때문에 해커들에게 매력적인 먹잇감이 됩니다.

• 익명성과 탈중앙성: 거래 추적이 어렵고, 특정 국가나 중앙 기관의 통제를 받지 않아 자금 동결이 어렵습니다.
• 국경 없는 송금: 훔친 자금을 순식간에 전 세계 어디로든 옮길 수 있습니다.
• 보안 취약점: 신생 산업인 만큼 거래소나 개인 지갑의 보안 체계가 전통 금융권에 비해 상대적으로 취약한 경우가 많습니다.

라자루스는 2017년부터 본격적으로 암호화폐 거래소를 공격하기 시작했습니다. 블록체인 분석 기업 엘립틱(Elliptic)에 따르면, 2025년 한 해에만 라자루스를 포함한 북한 연계 해커들이 훔친 암호화폐 규모는 20억 달러(약 2조 7천억 원)를 넘어섰으며, 이는 역대 최대 규모입니다. Elliptic 분석 보고서에 따르면, 특히 올해 2월 발생한 바이비트(Bybit) 거래소 해킹 사건 하나만으로 약 15억 달러에 달하는 피해가 발생했습니다.

라자루스의 공격 시나리오: 어떻게 훔치는가?

라자루스의 공격은 치밀한 계획과 고도의 기술, 그리고 인간의 심리를 교묘하게 이용하는 다단계 프로세스로 이루어집니다.

1단계: 인간의 신뢰를 노리는 '소셜 엔지니어링'

가장 흔하면서도 효과적인 침투 방식은 '소셜 엔지니어링(Social Engineering)'입니다. 이들은 링크드인(LinkedIn) 같은 플랫폼에서 헤드헌터나 투자자로 위장해 거래소의 핵심 개발자나 임원에게 접근합니다. CSIS 보고서에 따르면, 가짜 채용 제안을 미끼로 악성코드가 담긴 PDF 파일이나 워드 문서를 보내는 것이 전형적인 수법입니다. 신뢰를 쌓은 뒤 "이력서를 검토해달라"거나 "프로젝트 제안서를 확인해달라"며 파일을 열도록 유도해 시스템 접근 권한을 탈취합니다.

2단계: 취약점을 파고드는 기술적 공격

내부 시스템에 침투한 후에는 본격적인 기술 공격이 시작됩니다. 이들은 주로 인터넷에 연결되어 있어 상대적으로 보안에 취약한 핫월렛(Hot Wallet)의 개인 키(Private Key)를 노립니다. 2019년과 2025년 업비트 해킹 모두 핫월렛에서 발생했습니다. 업비트 측도 이번 해킹이 핫월렛에서 발생했다고 확인했습니다. 때로는 거래소 소프트웨어의 제로데이 취약점(아직 알려지지 않은 보안 허점)을 파고들거나, 2025년 바이비트 해킹 사례처럼 거래 승인 과정에 사용되는 UI(사용자 인터페이스)를 조작해 서명자가 가짜 거래에 서명하도록 속이기도 합니다.

3단계: 흔적을 지우는 자금 세탁 기술

자금 탈취에 성공하면 곧바로 복잡한 자금 세탁 과정에 들어갑니다. 이들의 세탁 기술은 법 집행 기관의 추적을 따돌리기 위해 끊임없이 진화하고 있습니다.

• 믹서(Mixer) 사용: 여러 사람의 암호화폐를 뒤섞어 자금의 출처를 불분명하게 만드는 서비스(예: 토네이도 캐시, 신밧드)를 이용합니다.
• 체인 호핑(Chain-hopping): 훔친 이더리움을 비트코인으로, 다시 트론 등으로 여러 차례 교환하며 블록체인 간 자금을 이동시켜 추적을 어렵게 만듭니다.
• 수많은 지갑으로 분산: 탈취한 자금을 수백, 수천 개의 새로운 지갑으로 쪼개어 보내 추적을 교란합니다.

블록체인 분석 기업 TRM Labs는 바이비트 해킹 분석 보고서에서 라자루스가 대규모 자금을 매우 빠른 속도로 여러 체인과 탈중앙화 거래소(DEX)를 거쳐 세탁하는 '홍수(flood the zone)' 전략을 사용한다고 분석했습니다. 이는 추적하는 분석가와 법 집행 기관을 압도하기 위한 고도의 전략입니다.

2025년 업비트 해킹: 우연인가, 계획된 과시인가?

이번 업비트 해킹 사건은 여러 가지 의문점을 남깁니다. 왜 하필 6년 전과 같은 날짜였을까요? 보안 전문가들은 이를 라자루스의 '서명'과 같은 과시 행위로 해석합니다. 연합뉴스 보도에 따르면, 해커들이 자신들의 능력을 과시하고 시장에 공포심을 심어주기 위해 의도적으로 날짜를 선택했을 가능성이 제기됩니다. 또한, 해킹이 발생하기 바로 전날 업비트의 모회사 두나무가 네이버파이낸셜과의 대규모 합병을 발표한 시점이라는 점도 주목할 만합니다. JTBC 뉴스는 이 중요한 시점을 노린 공격이 기업의 신뢰도에 타격을 주기 위한 목적일 수 있다고 분석했습니다.

단순한 절도를 넘어선 국가 안보 위협

라자루스의 해킹은 단순한 금전 탈취가 아닙니다. 미국 정부와 UN 전문가들은 북한이 이렇게 탈취한 자금을 대량살상무기(WMD) 및 탄도미사일 프로그램 개발에 사용하고 있다고 일관되게 지적합니다. 미 재무부는 2025년 11월 발표에서 북한이 지난 3년간 30억 달러 이상의 자산을 사이버 범죄로 훔쳤다고 밝혔습니다. 즉, 암호화폐 거래소에서 사라진 돈이 결국 국제 평화를 위협하는 무기가 되어 돌아올 수 있다는 의미입니다.

"북한의 악의적인 사이버 활동과 불법적인 WMD 및 탄도미사일 프로그램 자금 조달은 우리 시민, 국제 안보, 그리고 글로벌 디지털 경제에 위협이 됩니다." - 미국 재무부 성명 중

결론: 끝나지 않은 전쟁

라자루스는 국가의 비호 아래 움직이며, 훔친 자금으로 다시 자신들의 기술을 발전시키는 악순환의 고리를 만들고 있습니다. 거래소들이 보안을 강화하면 이들은 더 교묘한 소셜 엔지니어링으로 인간의 취약점을 파고들고, 추적 기술이 발전하면 더 복잡한 자금 세탁 기법을 개발합니다. 2025년 업비트 해킹 사건은 이 끝나지 않는 전쟁의 현실을 다시 한번 일깨워주었습니다.

결국 이들과의 싸움은 기술 대 기술의 대결을 넘어, 국제 사회의 공조와 끊임없는 경계심을 요구합니다. 투자자 개인 역시 '세상에 완벽한 보안은 없다'는 사실을 인지하고, 의심스러운 링크나 파일을 경계하며 자신의 자산을 지키기 위한 노력을 게을리하지 말아야 할 것입니다. 라자루스의 그림자는 우리가 방심하는 순간, 언제든 다시 드리워질 수 있습니다.