[파이낸셜뉴스] 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 “가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다”면서 “향후에도 예방과 회복에 최선을 다할 것”이라고 말했다.