2024-03-19 20:50 (화)
이상징후 탐지 못한 ‘업비트’…탈취당한 580억 규모 이더리움, 현재 본격 세탁 전초전
상태바
이상징후 탐지 못한 ‘업비트’…탈취당한 580억 규모 이더리움, 현재 본격 세탁 전초전
  • 길민권 기자
  • 승인 2019.11.29 16:28
이 기사를 공유합니다

현재 2개 거래소로 테스트 전송…‘웁살라 시큐리티’ 추적툴로 전 과정 한 눈에 볼 수 있어
업비트 유출 이더리움 흐름 추적.
업비트 유출 이더리움 흐름 추적. 웁살라 시큐리티 제공.

지난 8월 플러스토큰 암호화폐 사기사건이 시장을 혼란에 빠뜨린 바 있다. 사기 일당들이 암호화폐 지갑에서 총 940만개중 460만개 이더리움을 빼돌려 현금화한 사건이다. 당시 이더리움 시가가 약 20만5천원대여서 전체 피해 금액이 9천430억원에 달하는 금액과 전세계 300만명 정도가 피해를 입었다.

이때 사기일당들은 복잡한 과정을 통해 이더리움을 여러 거래소에 분산시키며 세탁해 나갔고 현금화시켰다. 이들의 범죄과정을 암호화폐 프로젝트 ‘센티널 프로토콜(SENTINEL PROTOCOL)’로 시각화시켜 추적 과정을 면밀히 보여준 기업이 ‘웁살라 시큐리티(Uppsala Security)’다.

지난 27일 국내 최대 암호화폐 거래소인 업비트에서 580억 규모의 이더리움이 핫월렛에서 의심스러운 월렛으로 이전됐다. 업비트는 승인되지 않은 거래를 인정하고 해킹사실을 수사기관에 신고했다. 현재 경찰과 한국인터넷진흥원(KISA)에서 현장 조사를 실시하고 있는 중이다.

최근 암호화폐 거래소 해킹사건.
최근 암호화폐 거래소 해킹사건.

국내 보안업계에서 추정하는 북한 해커들의 소행인지 아니면 내부 직원의 소행인지는 공식적인 조사가 나와봐야 알 수 있는 상황이다.

이번에 업비트에서 유출된 34만2천개의 이더리움에 대해 범죄자들은 28일 극소량만 테스트 삼아 2개의 거래소로 옮겨 놓는 테스트 송금을 시작했다. 본격적인 세탁과정을 진행하기 전에 연습 과정이라고 볼 수 있다.

본격적인 세탁과정이 시작되면 전세계 크고 작은 거래소를 통해 소량으로 분산시켰다가 다시 다른 코인으로 변환했다가 다시 합치고 다시 분산시키는 복잡한 과정을 거쳐 현금화를 시도하게 된다. 이 과정을 추적하지 못하면 피해 복구는 불가능하다.

전세계 거래소에 주소를 공유해 모든 거래소들이 거래를 차단시켜주면 좋겠지만 공조가 잘 되지 않는 것이 현실이다.

하지만 유출된 업비트 이더리움이 어떻게 흘러가는지 전체 모습을 시각화해서 볼 수 있다면 피해를 최소화하는데 도움이 될 수 있다.

웁살라 시큐리티 측은 “암호화폐 추적 보안 솔루션인 Crypto Analysis Transaction Visualization(이하 CATV)을 통해 분석, 추적하고 있으며, 실시간으로 탈취 자금의 흐름을 모니터링하고 상세 정보를 한 눈에 확인할 수 있다”며 현재 ‘업비트 해킹-거래추적 실시간 상황게시판’을 공유하고 있다. (업비트 해킹-거래추적 실시간 상황 게시판)

해당 게시판을 살펴보면, 업비트 도난 사건에 대한 대시 보드가 보이고 의심스러운 지갑 숫자, 의심스러운 월렛 관련 거래 수치, 거래소 교환 건수 등이 실시간 수치로 보여진다.

업비트 해킹-거래추적 실시간 상황게시판 화면.
업비트 해킹-거래추적 실시간 상황게시판 화면.

또 도난당한 이더리움의 자금 흐름 시각화 도표도 보인다.

이 도표에 따르면, 업비트에서 도난 당한 이더리움은 28일 2개의 거래소를 통해 극소량이 전달된 것을 알 수 있다. 본격 세탁과정 전초전이라고 볼 수 있다.

본격적인 세탁과정이 발생하면 CATV는 전 과정을 한 눈에 볼 수 있도록 이더리움의 흐름을 선명하게 보여주게 된다는 것이다. 이 과정에서 다른 거래소와 공조해 거래를 차단해 현금화를 막는 방법이 현재로서는 피해를 최소화 시킬 수 있는 방안이다.

한편 보안업계 관계자는 “업비트가 ISMS 인증도 받고 다른 거래소에 비해 보안 투자를 많이 했다. 하지만 문제는 대량의 이더리움이 빠른 전송을 위해 비싼 수수료를 내고 전송될 때 이상징후를 탐지해 미리 차단했어야 한다”며 “이상징후 감지시 즉시 차단하는 방식이 아닌 사후 알람 방식으로 추정된다. 이 부분에 대해 거래소의 보안강화가 필요하다. 해커가 돈을 목적으로 타깃을 뚫겠다고 작심하면 뚫지 못하는 곳은 없다. 하지만 해킹 이후 이상징후를 탐지하고 즉각적인 대응을 하는 것은 가능하다. 사전 대응이 가능하도록 준비해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★