지난달 27일 업비트에서 불법으로 탈취된 580억원 규모의 암호화폐가 사건 발생 2주만에 1만개 이상의 암호화폐 지갑으로 빠르게 흩어지고 있다. 업계 전문가들은 “탈취된 자금이 수많은 암호화폐 거래소와 지갑을 통해 적은 양으로 쪼개져 분산되는 모습은 전형적인 자금세탁 초기수법”이라 분석하고 있다.

“업비트 탈취자금, 거래소 9곳으로 흩어져”
11일 블록체인 사이버보안 전문기업 웁살라시큐리티는 “현재 총 9개 암호화폐 거래소에 업비트 탈취자금이 흘러들어간 상황”이라며 “사건초기 자금이 후오비나 바이낸스 등 한정된 거래소를 대상으로 몇백원 단위로 느리게 움직였다면, 현재는 자금과 연루된 지갑간 거래가 실시간 기하급수적으로 늘어나고 있다”고 말했다.

그러면서 “해커의 최종 목적은 탈취자금을 현금화하는 것이기 때문에 처음엔 자금이 제대로 전송되는지 확인하기 위해 몇몇 거래소에 시험용으로 극소량을 전송해 봤을 것”이라며 “송금이 성공적으로 진행된다는 사실을 확인한 해커가 본격적인 자금세탁 단계에 진입했다”고 진단했다.

웁살라시큐리티가 자체 암호화폐 추적 보안 솔루션 CATV(Crypto Analysis Transaction Visualization)를 통해 업비트 탈취자금을 추적한 보고서에 따르면 현재 바이낸스와 후오비, 스위체인(switchain), 60cek, 라토큰(LATOKEN), 비트제트(Bit-Z), 제트비(ZB), 비트렉스, 빌락시 등 거래소 9곳에 탈취자금이 유입된 것으로 알려졌다.

웁살라시큐리티가 분석한 탈취자금 거래가 의심되는 지갑도 현재 총 1만995개에 달하며, 해당 지갑을 통해 거래된 횟수는 2만5천여건에 육박한다. 현재 해당 수치는 계속해서 늘어나고 있다.

보고서는 “해커는 수많은 거래소와 지갑에 자금을 뿌리고 합치는 일을 반복하고 있다”며 “이를 믹싱(mixing)과 텀블링(tumbling)이라고 하는데, 자신들이 어떤 거래소에서 최종적으로 자금을 출금하는지 외부에서 알지 못하게 하려는 의도”라고 분석했다.

KISA, 아직 탈취원인 특정 못해
한편, 업비트 암호화폐 탈취사고 발생 후 한국인터넷진흥원(KISA)의 침해사고분석단이 업비트에 현장출동해 원인을 분석하고 있지만 아직까지 마땅한 자금 유출경로를 특정하지 못한 것으로 알려졌다.

KISA 측은 “현재 현장에 내부인력을 파견해 사고원인을 파악하고 있지만 결과가 언제 나오는지는 미정인 상황”이라며 “일반적으로 몇달이 걸리는 경우도 있다”고 답했다. 이어 “아직 해킹이라고 명확히 단정하진 않았으며, 내부 혹은 외부 소행인지도 종합적으로 파악 중”이라 덧붙였다.

앞서 지난 3월 빗썸에서도 500억원 규모의 암호화폐가 무단탈취된 바 있으나, KISA 측은 이에 대해서도 아직 조사결과를 발표하지 않았다.

한 정보보안학과 교수는 “당시 빗썸이 무단출금 사고에 대해 내부자 소행이라고 발표했던 것처럼 업비트 역시 완전히 내부소행이 아니라고 단정하긴 어렵다”며 “외부 공격이나 내부자에 의해 탈취됐을 가능성을 모두 검토해야 한다”고 말했다. 그는 “만약 해커가 모네로나 대시, 지캐시 등 다크코인을 통해 탈취자금을 현금화 한다면 이에 대한 추적이 어렵기 때문에 돈세탁은 충분히 가능할 것”이라 답했다.

/블록포스트 김소라 기자