[크립토24] 업비트 445억 해킹⋯온체인이 보여준 '정교한 자금 이동'

국내 최대 암호화폐 거래소 업비트에서 약 445억원 규모의 솔라나 계열 자산이 유출됐다. 금융당국과 경찰은 즉시 현장 점검에 착수했으며, 온체인 분석 서비스 '아캄(ARKM)'을 통해 드러난 자금 이동 경로도 주목받고 있다.

지난 27일 오전 업비트는 "이날 오전 4시 42분경 내부에서 지정되지 않은 지갑으로 솔라나 기반 자산 일부가 이동한 정황을 확인했다"고 밝혔다. 피해 규모는 약 445억원으로, 솔라나(SOL), 오피셜트럼프, 솔레이어 등 24종의 자산이 포함됐다.

업비트는 공격을 감지한 즉시 전 자산을 콜드월렛으로 옮기고, 모든 입출금을 일시 중단했다. 또 탈취 자산이 시장에 유입되지 않도록 동결 조치를 취했다.

운영사 두나무는 "고객 피해가 발생하지 않도록 모든 손실을 회사 자산으로 전액 충당하겠다"고 밝혔다.

이번 사건은 절묘하게도 업비트 운영사 두나무와 네이버파이낸셜이 합병을 공식 발표한 바로 그날 발생했다.

또한 2019년 11월 27일, 같은 날짜에 580억 원 상당의 이더리움이 유출됐던 전례까지 겹치며 우연 이상의 '데자뷔'라는 평가도 나온다. 금융감독원은 금융보안원과 함께 즉각 현장 조사에 들어갔으며, 경찰청 국가수사본부 사이버테러수사대 또한 내사에 착수했다. 해킹 원인을 규명하고 소비자 피해 여부를 점검하는 데 초점을 맞춘다는 방침이다.

일반 투자자들이 한눈에 자금 흐름을 살펴볼 수 있도록 돕는 온체인 분석 플랫폼 아크햄(Arkham Intelligence, ARKM) 의 시각화 자료도 이번 사건의 핵심 단서를 제공하고 있다. 사용자가 제공한 ARKM 그래프를 보면, 탈취 자금이 단순히 한 지갑에서 다른 지갑으로 '도망치듯' 이동한 것이 아니다.

ARKM 데이터가 보여주는 특징은 다음과 같다. 초기 탈취 지갑에서 수십 개의 지갑으로 자산을 쪼개 전송한 뒤 쪼개진 자금 일부는 중앙 허브 역할을 하는 중간 지갑에 재집결한다. 이후 다시 여러 경로로 흩어지고, 최종적으로 바이낸스 입금 지갑으로 합류한다. 여러 단계의 '분산 → 재흡수 → 분산' 패턴은 숙련된 공격자가 사전에 구상한 전형적 세탁(sanitizing) 경로와 유사하다.

이 방식은 초보 해커가 즉흥적으로 사용하는 단순 이동과 달리, 사전에 테스트된 루트를 따라 움직인 흔적이 강하다. 특히 마지막 바이낸스 지갑 도달 구간은 글로벌 거래소의 KYC·동결 대응 여부에 따라 수사 속도를 가를 가능성이 높다.

ARKM 시각화는 '누가 어떻게 돈을 빼돌렸는지'를 명확하게 보여주는 일종의 지도 역할을 했다. 이번 사건을 이해하는 데 핵심적인 도구로 활용된 셈이다.