[딜사이트 황지현 기자] 국내 블록체인 기술 기업 '오지스'가 지난 1일 해킹으로 1000억원 규모의 가상자산을 탈취한 범인을 찾는 과정에서 내부자 소행 가능성을 제기했다. 해당 직원은 지난해 12월 퇴사한 최고정보보호책임자(CISO) 추정되며 범행이 확실시되면 처벌을 피할 수 없을 것으로 보인다.

◆ 25년 보안 경력 보유자 A씨…북한 연류 가능성 배제 못해

오지스는 크로스체인 서비스 '오르빗 브릿지' 해킹과 관련해 "25년 보안 전문 경력을 가진 오지스 최고정보보호책임자 A씨가 지난해 11월 22일 임의로 사내 방화벽의 주요 정책들 변경한 사실을 파악했다"고 26일 밝혔다.

최진한 오지스 대표이사는 공지사항을 통해 "A씨는 오지스 ISMS 인증 취득을 위한 업무를 총괄한 정보보호 전문가로서 희망퇴직 결정(11월 20일) 이틀 후, 돌연 방화벽을 취약하게 만들고 인수인계 과정에서 이에 대해 구두나 서면을 통한 공유 없이 퇴직했다"고 "그로부터 한 달이 채 지나지 않은 2024년 1월 1일, 오르빗 브릿지 익스플로잇(취약점 공격)이 발생했다"고 말했다.

특히 이번 익스플로잇은 오르빗 브릿지 스마트 컨트랙트의 취약점이나 밸리데이터 키 탈취에 의해 발생하지 않았다는 게 오지스 측 설명이다. 이 때문에 내부자 소행 가능성이 중점을 두고 A씨의 행적을 추적한 것으로 보인다.

오지스는 A씨의 범행 가능성에 초점을 두고 경찰청에 정보통신망법 위반·업무방해죄 혐의로 수사를 촉구하는 진정서를 제출한 상황이다.

만약 A씨의 단독 범행이 아니라 배후에 북한이 연류된 사실이 드러나면 국가보안법 위반, 업무상 배임 등의 혐의도 추가될 수 있다. 오지스는 이번 공격의 수법이 북한 관련 해킹 그룹 라자루스의 수법과 유사하다는 복수의 제보에 따라 국가정보원(국정원)에도 신고 접수도 진행했다.

오지스는 국정원 국가사이버안보센터, 경찰청 사이버테러대응과, KISA 사이버침해대응본부 및 여러 보안 업체와 협력해 원인 규명을 위해 조사하고 있다.

앞서 오르빗 브릿지는 지난 1일 오전 5시 52분부터 6시 25분까지 총 여섯 차례에 걸쳐 신원 불상의 공격자에 가상자산이 탈취됐다. 오르빗 브릿지 이더리움 볼트 내 5개 자산(이더리움·랩핑된 비트코인·테더·다이·USD코인) 약 8150만달러(약 1090억원)가 사라졌다. 탈취 자산은 이더리움과 다이로 교환된 후, 8개의 지갑으로 분산돼 현재까지 이동 없이 보관돼 있는 상태다.

오지스 관계자는 "오지스는 보안을 최우선 가치로 여기고 실제로 작년에 수십억에 달하는 예산을 투입하며 보안 강화에 힘썼다"며 "모든 서비스는 출시 전에 여러 보안 전문 업체의 감사를 진행했고, 특히 오르빗 브릿지는 다양한 모니터링 기능을 구현해 보안에 유의해 왔다"고 강조했다.

이어 보상과 관련해 "보상안에 대해서 내부 검토 중이고 자금을 마련하기 위해 열심히 노력하고 있다"고 설명했다.

◆지난해 북한 해커 1조3000억원대 가상자산 탈취

블록체인 데이터 분석기업 체이널리시스가 발표한 '2024 가상자산 범죄 보고서 - 도난 자금'에 따르면 지난해 북한 연계 해커들이 탈취한 가상자산의 가치는 총 10억달러(약 1조3000억원)이다. 

디파이 플랫폼에서 4억2880만 달러(약 5800억원), 중앙화 서비스에서는 1억5000만 달러(약 2000억원)를 탈취했다. 거래소에서는 3억3090만 달러(약 4500억원), 지갑 제공업체에서는 1억 2700만 달러(약 1700억원)를 탈취한 것으로 나타났다.

체이널리시스는 "김수키와 라자루스 그룹 등 해커 조직이 대량의 가상자산을 획득하기 위해 다양한 악성 전술을 구사하는 등 최근 몇 년간 북한 관련 해킹이 증가하고 있다"고 밝혔다.

전문가들은 북한이 오프라인 추적이 어려운 점을 악용해 해킹에 집중하고 있는 것으로 보고 있다. 황석진 동국대 국제정보보호대학원 교수(국민의힘 가상자산특별위원회 위원)는 "이전에는 북한이 직접 광물을 캐서 외국에 팔기도 했는데 오프라인상으로 실물을 이동하거나 전달하면 추적이 가능해 현장 검거가 될 수 있었다"며 "현장에서 추적하기 쉽지 않은 온라인으로 외화벌이 타겟을 바꿨다"고 설명했다. 

이어 "북한 단독 소행으로 진행되는 경우도 있지만, 돈이 필요하거나 불법에 연류된 사람을 포섭해 미리 금전을 제공하고 해킹 가담을 유도하는 경우도 있다"고 덧붙였다.