업비트 공격자, 580억원 수십 개 지갑으로 분산…'1337' 흔적(?) 남겼다

글자 작게 글자 크게 인쇄하기
업비트에서 빠져나간 580억원어치 이더리움이 소유자를 알 수 없는 수십개 지갑으로 분산됐다. 공격자는 마지막 6회 전송에 한해 0.00001337 이더를 전송했다. 이더스캔 캡처
<업비트에서 빠져나간 580억원어치 이더리움이 소유자를 알 수 없는 수십개 지갑으로 분산됐다. 공격자는 마지막 6회 전송에 한해 0.00001337 이더를 전송했다. 이더스캔 캡처>

암호화폐거래소 업비트에서 익명의 지갑으로 빠져나간 이더리움 34만2000개(약 580억원)가 소유자를 알 수 없는 수십 개 지갑으로 완전히 분산됐다. 공격자는 총 99차례에 걸친 전송 중 마지막 6회에 한해 '0.00001337 이더'(약 2.39원)를 전송, 메시지를 남겼다.

업비트는 27일 580억원 규모 이상거래가 발생해 암호화폐 입출금이 일시 중단됐다. 현재 내부자 소행인지 외부 해커에 의한 공격인지 의견이 분분한 상황이다.

업비트에서 빠져나간 암호화폐는 공격 다음날인 28일 오전까지 움직임을 보이지 않다가 오후 12시께부터 수십 개 지갑으로 분산돼 전송되기 시작했다. 적게는 0.000001 이더부터 많게는 10만 이더까지 이번 공격을 위해 새로 개설한 것으로 추정되는 지갑들로 뿔뿔이 전송됐다.

업비트 공격자를 추적 중인 신승원 카이스트 교수는 “(580억원어치 이더가 전송된 주소들은) 대부분 이번에 새로 만들어진 것”이라고 설명했다. 이어 “새 지갑을 만든다 하더라도 언제까지 계속 만들 순 없다”면서 “이들 주소 중 다크웹에 동일한 주소가 있는지 다크웹 암호화폐 분석 전문업체 에스투더블유랩(S2W LAB)과 함께 분석하고 있다”고 말했다.

업계 관계자는 공격자가 '1337'이라는 숫자를 반복적으로 남긴 것과 관련해 지난해 이더리움 정보공유 사이트 '이더스캔'에서 벌어진 해킹 공격과 유사하다고 지적했다. 그는 “해킹 당시 다수가 방문하는 사이트라는 점을 이용해 악성코드를 유포할 수도 있었지만, '1337' 숫자만 팝업에 띄웠다”면서 “이번 공격에서도 0.00001337 이더를 여러 차례 전송한 것도 이와 연관돼 보인다”고 언급했다.

'1337'이라는 숫자가 무엇을 의미하는지는 분명하지 않다. 숫자와 특수 아스키(ASCII) 문자를 사용해 영문을 표기하는 방식으로 '엘리트(l33t·리트)'라는 의견, 국군기무사령부 신고번호(1337)를 가리킨다는 의견도 있다.

오다인기자 ohdain@etnews.com