업비트 지갑에서 수십억씩 실시간으로 빠져나가고, 곧바로 “북한 해킹 배후” 기사가 쏟아지는 상황… 이게 진짜로 북한 라자루스(Lazarus) 소행인지, 그냥 언론용 프레임인지 궁금하셨을 겁니다. 과연 업비트 해킹 사건은 북한의 소행일까요??
저는 서울대 컴퓨터공학과를 졸업하고 개발자·보안 실무를 거쳐 현재 변호사로 일하고 있습니다.
이 글에서는 개발자 눈 + 변호사 눈을 동시에 켜고, 2025년 업비트 해킹 사건이 왜 ‘북한 소행’으로 지목되는지, 기술·법률 양쪽에서 핵심만 정리해보겠습니다.
1. 2025년 업비트 해킹, 사실관계 한 줄 요약
요약하면 이렇습니다.
“2025년 11월 27일, 업비트 핫월렛에서 약 3,000만 달러(한화 400억 원대) 규모의 자산이 유출되었고,
한국 당국은 이를 북한 라자루스가 저지른 사이버 공격으로 추적했다.”
조금 더 풀어보면:
- 공격 일시: 2025년 11월 27일
- 피해 규모: 약 3,000만 달러 상당
- 공격 방식:
- 업비트 서버를 직접 뚫은 게 아니라, 관리자 계정(Admin 계정)을 탈취하거나 위장해서 핫월렛에서 대량 출금 지시를 한 것으로 추정
- 자금 세탁:
- 먼저 솔라나(Solana) 쪽으로 옮긴 뒤,
- 다시 이더리움(Ethereum) 네트워크로 브릿징
- 185개 이상의 지갑으로 쪼개고, 토큰·풀을 돌며 자금을 분산
한국 당국과 블록체인 분석기관들은 이 패턴이 과거 라자루스가 사용했던 수법과 거의 동일하다고 보고 있습니다.
2. 업비트 해킹을 왜 “북한 라자루스 소행”이라고 보는가? (기술 관점)
1) 공격 벡터: 서버 해킹이 아니라 ‘사람’을 턴다
보통 대중은 “서버를 뚫어버렸다”고 생각하지만, 실제로는 관리자 계정 탈취가 핵심인 경우가 많습니다.
- 피싱 메일로 직원/관리자 컴퓨터에 악성코드 설치
- 메신저·이메일로 위장 링크 전송
- 내부 인프라 접근 권한을 가진 사람의 기기를 먼저 장악
- 이후 마치 ‘정상 관리자’처럼 출금 명령 실행
이번 업비트 사건도, 관리자 계정을 실제로 탈취했거나 매우 정교하게 위장한 공격으로 추정되고, 이는 라자루스가 과거 다른 거래소 공격 때 사용한 전형적인 수법과 일치합니다.
2) 온체인(On-chain) 패턴: 솔라나 → 이더리움 → 185개 지갑
라자루스의 특징 중 하나는 **“크로스체인 세탁(cross-chain laundering)”**입니다.
이번 사건에서도:
- 업비트에서 훔친 자산을
- 솔라나 체인으로 먼저 옮기고,
- 이후 브릿지·풀(예: Allbridge 등)을 활용해 이더리움으로 다시 이동
- 185개 이상의 서로 다른 주소로 빠르게 쪼개서 유통
이런 패턴은
- 속도: 수 시간 안에 체인 여러 개를 오가며 세탁
- 분산: 많은 지갑·토큰·풀을 거쳐 추적 난이도 상승
이라는 두 가지 목적을 동시에 달성합니다.
블록체인은 익명성이 아니라 가명성이기 때문에, “누가 어디로 보냈는지” 기록은 남습니다.
그래서 오히려 이런 복잡한 세탁 패턴 자체가 라자루스의 ‘필적’처럼 남는 것입니다.
3) 과거 라자루스 공격과의 TTP(Tactics, Techniques, Procedures) 유사성
보안 업계는 흔히 공격조직의 TTP를 분석합니다.
- 어떤 OS/지갑을 노리는지
- 어떤 악성코드 패밀리를 쓰는지
- 어느 시간대에 활동하는지
- 어떤 믹서·브리지·거래소를 선호하는지
이번 업비트 사건에서도,
“관리자 계정 기반 공격 + 크로스체인 세탁 + 대량 지갑 분산”이라는 패턴이,
기존 라자루스의 공격들과 거의 겹친다는 점 때문에 “북한 소행 가능성이 높다”는 결론이 나온 것입니다.
3. 2019년 업비트 해킹과의 데자뷰
사실 업비트는 2019년에도 큰 해킹 사건을 겪었습니다.
- 당시 피해: 약 34만2,000 ETH(당시 약 580억 원 규모)가 한 번에 유출
- 이후 자금 흐름을 추적해보니,
- 믹서·복수 체인을 활용한 세탁 패턴이 발견
- 여러 국제 분석기관이 라자루스 가능성을 강하게 제기
2025년 사건은:
- 다시 업비트,
- 대량의 암호자산 유출,
- 복수 체인 활용 세탁,
- 당국이 라자루스 소행으로 공식 추정
이라는 점에서, 2019년 사건의 정교해진 버전에 가깝습니다.
4. 법률적으로 보면 무엇이 문제인가?
1) 형사적으로는 ‘대규모 국제 사이버 금융범죄’
라자루스 사건은 단순한 해킹을 넘어:
- 전자기록 손괴·변경,
- 정보통신망 침해,
- 컴퓨터 등 사용사기,
- 자금세탁,
- 제재 위반(대북제재 관련 국제법 이슈)
등이 한꺼번에 얽힙니다.
다만 북한 조직을 국내 형사재판에 직접 세우기는 사실상 불가능하므로,
- 국내에서는 거래소의 보안 의무, 사고 대응, 정보공시 부분에 초점이 맞춰져
- 제재·과징금·행정 제재가 주요 수단이 됩니다.
실제로 2025년 해킹 이후, 업비트 운영사 두나무는 사고 보고 지연 및 데이터 관리 문제 등으로 금융당국으로부터 **3,520억 원 상당의 제재 논의(보도 기준)**가 이뤄지고 있다는 보도도 있습니다.
2) 이용자(투자자) 보호 – “전액 보상”이면 끝일까?
업비트는 이번 사건과 관련해
- 고객 피해는 전액 보상하겠다고 공언하고,
- 약 70% 이상의 자산을 콜드월렛으로 이전해 보안을 강화하겠다고 밝혔습니다.
겉으로 보면 “돈 돌려줬으니 문제 없다”고 느껴질 수 있지만, 법률·규제 관점에서는:
- 사고 발생 자체가 중대한 관리상 하자
- “핫월렛 비율 관리, 다중 승인(Multi-sig) 구조, 이상 거래탐지 시스템”이 적절했는지
- 사고 인지 후 신속한 공지·보고·입출금 통제가 이뤄졌는지
가 모두 따로 평가됩니다.
즉, “돈 돌려줬냐”는 1차적인 문제일 뿐,
실제로는 KISA·금융위원회·FIU 등의 보안·자금세탁 규제까지 전방위적으로 건드리는 사건입니다.
5. 투자자는 무엇을 봐야 할까? (실무 체크리스트)
서울대 컴공 출신으로 개발·보안 쪽을 오래 보다가,
지금은 변호사로 사건을 처리하면서 느끼는 건 딱 하나입니다.
“개별 투자자가 해킹을 막을 수는 없다.
하지만 ‘어디에 돈을 두느냐’는 선택은 우리가 할 수 있다.”
1) 거래소 보안 체계 공개 수준
- 콜드월렛 : 핫월렛 비율 공개 여부
- 다중 서명(Multi-sig) 사용 여부
- 정기 보안 점검/감사 결과 공개 여부
- 이상 거래탐지(FDS) 시스템 소개 정도
2) 사고 발생 시 대응 패턴
이전에도 사고가 있었던 거래소라면:
- 과거 사고 때 얼마나 빨리 입출금을 막았는지
- 투명하게 타임라인을 공개했는지
- “전액 보상” 약속을 실제로 지켰는지
를 꼭 체크해보셔야 합니다.
3) 내 자산 보관 전략
- 장기 보유 코인: 가능하면 하드웨어 월렛(콜드월렛) 사용
- 거래소는 “교환·단기 매매” 용도로만 사용하는 것을 권장
- 여러 거래소에 분산 보관 (단, 관리 가능 범위 내에서)
“업비트가 또 털렸네, 역시 거래소는 위험해”로 끝내지 마시고,
“내 보관 전략은 안전한가?”를 같이 점검해보셔야 합니다.
6. 결국 북한 소행이 맞나? 제 결론
정리해보면:
- 한국 당국과 여러 분석기관은 이번 업비트 해킹을 북한 라자루스 소행으로 추적하고 있습니다.
- 크로스체인 세탁
- 관리자 계정 기반 공격
- 과거 2019년 업비트 사건과의 패턴 유사성
- 다만, ‘북한’이라는 국가 차원의 배후를 법정에서 100% 명시적으로 단정하는 것은
- 외교·안보·정보기관 문제까지 얽히기 때문에
- 형사재판의 증명 구조와는 조금 다른 영역입니다.
- 기술적으로는 라자루스의 TTP와 상당 부분 겹친다는 점에서
- “북한 소행 가능성이 매우 높은 사건”으로 보는 것이 현재까지의 합리적 결론입니다.
마무리: “의심은 기술로, 대응은 법으로”
이 사건이 주는 메시지는 단순합니다.
- 의심: “이 패턴, 라자루스 냄새 나는데?” → 블록체인 분석과 디지털 포렌식의 영역
- 대응: “이 사고로 누가, 어디까지 책임져야 하나?” → 법률·규제·소송의 영역
서울대 컴공 출신 변호사 입장에서 보자면,
블록체인·보안·국제제재·금융규제가 한 번에 엮이는, 전형적인 “복합 리스크 사건”입니다.
업비트 같은 대형 거래소조차 두 번이나 이런 공격을 당했다는 사실은,
결국 “거래소 보안 = 완벽할 수 없다”는 현실을 보여줍니다.
그래서 투자자 입장에서는
- 기술적으로 어떤 공격이 있었는지 공부하고,
- 법적으로 어떤 보호를 받을 수 있는지 알고,
- 내 자산 보관 전략을 점검하는 것,
이 세 가지를 동시에 가져가셔야 합니다.
앞으로도 가상자산 해킹·라자루스·거래소 책임과 관련해
기술+법을 함께 풀어드리는 글들을 계속 다뤄보겠습니다.
실제 사건이 걱정되거나, 법적 대응이 필요하다면
혼자 고민하지 마시고 보안·법률 전문가와 꼭 상의하시길 바랍니다.