40억 달러 비트코인 미스터리.. '루비안 해킹' 배후에 미국 정부가 있다?

[시큐리티팩트=최석윤 기자] 약 40억 달러(당시 가치 35억 달러) 규모의 비트코인 절도 사건이 단순한 사이버 범죄를 넘어 미-중 간의 디지털 자산을 둘러싼 지정학적 분쟁으로 비화하고 있다. 11일(현지 시각) 외신 보도에 따르면, 중국은 역사상 최대 규모의 비트코인(BTC) 해킹 중 하나인 '루비안(LuBian) 채굴 풀(Mining Pool)' 사건의 배후에 미국 정부가 은밀히 연루되었다고 공식적으로 비난했다. 이 국경 간 비트코인 논쟁은 세계 주요 경제국 간 암호화폐 긴장을 극도로 고조시키고 있다.

논란의 중심은 2020년 12월 29일 발생한 대규모 침해 사건이다. 중국에 본사를 둔 비트코인 채굴 집단인 루비안 채굴 풀은 당시 12만7272 BTC(약 19조 원)를 잃었다. 이는 곧 루비안의 주요 자산이 대부분 고갈되었음을 의미했다. 이 코인은 캄보디아 프린스 그룹(Prince Group)의 첸 지(Chen Zhi)가 소유한 것으로 알려졌다. 이 도난당한 비트코인은 거의 4년 동안 블록체인(Blockchain) 상에서 휴면 상태를 유지했다.

하지만 상황은 2025년 10월 급변했다. 미국 법무부가 첸 지를 기소하며 12만7000 BTC(약 19조 원)를 압수했다고 발표했기 때문이다. 중국 평론가와 블록체인 분석가들은 즉각 의문을 제기했다. 압수된 비트코인이 루비안 해킹 자금과 동일하다고 주장했다. 이는 미국 당국이 비밀 작전을 통해 몇 년 전에 비트코인에 접근했음을 강하게 시사한다. 이 엄청난 규모의 비트코인 미스터리는 국제 사회의 이목을 집중시키고 있다.

블록체인 포렌식이 암시하는 '숨겨진 작전'

미국 법무부가 루비안 해킹을 직접 실행했을까? 중국 국가 컴퓨터 바이러스 비상대응센터(NCVERC, National Computer Virus Emergency Response Center)는 이를 '국가 차원의 해킹 작전'으로 단정했다.

블록체인 포렌식(디지털 과학수사) 결과는 흥미로운 일치를 보여준다. 아캄 인텔리전스(Arkham Intelligence)와 엘립틱(Elliptic) 등 시장 조사 회사에 따르면, 법무부 기소장에 명시된 지갑 주소(Wallet Address)는 2020년 루비안 해킹과 관련된 지갑 주소와 정확히 일치했다. 블록체인 네트워크 상에서 일어나는 모든 활동인 온체인(On-chain) 기록도 이를 뒷받침한다. 공격 당일, 루비안의 메인 지갑에서 알 수 없는 주소로 12만7272 BTC가 이체됐다. 이 금액은 나중에 미국 관리들이 압수한 금액과 거의 같았다.

2020년의 침해는 치명적인 기술적 결함을 악용했다. 루비안의 32비트 의사 임의 키 생성기에 결함이 있었기 때문이다. 이 문제는 2023년에 공개된 "MilkSad" 암호화 결함과 유사한 취약점이다. 이 결함으로 인해 공격자는 몇 시간 내에 수천 개의 지갑 키를 무차별 대입 공격할 수 있었다. 해커는 검색 공간을 약 42억 9000만 개의 시드(Seed, 암호화폐 지갑의 생명선)로 줄이는 데 성공했다. 결국 루비안 보유 자산의 90% 이상을 고갈시켰다.

수년 동안 도난당한 비트코인은 꿈쩍도 하지 않았다. 루비안과 첸 지 측은 절박했다. 그들은 2021년과 2022년에 걸쳐 1500개 이상의 메시지를 보냈다. 비트코인의 OP_RETURN 기능을 통해 해커들에게 자산 반환이나 몸값(Ransom)을 간청했다. 하지만 해커 측으로부터의 응답은 전혀 없었다.

침묵은 2024년 6월에 깨졌다. 블록체인 추적기가 휴면 지갑에서 새로운 움직임을 관찰했기 때문이다. 약 12만7000 BTC가 새 주소로 옮겨졌다. Arkham은 나중에 이 주소를 미국 정부에 속한 것으로 태그했다. 법무부의 공식 압수 발표는 몇 달 후에 나왔다. 중국 관찰자들은 이 시간적 순서에 의문을 제기했다. 그들은 미국이 언제 어떻게 개인 키(Private Key)에 대한 접근 권한을 얻었는지 밝혀야 한다고 요구했다.

법무부는 자산 압수의 기술적 방법을 공개하지 않았다. 그들은 해당 자산이 "불법 운영과 연결되어 있으며 중국과 이란에서 운영되는 채굴 네트워크를 통해 세탁되었다"고 주장한다. 그러나 독립 분석가들이 검토한 온체인 데이터는 자금이 루비안의 손상된 지갑에서 직접 이동했음을 보여준다.

중국, '흑이 흑을 먹는' 국가 해킹 주장

중국 국가컴퓨터바이러스 비상 대응 센터(NCVERC)는 블룸버그 보도를 통해 미국 정부가 2020년 12월 루비안 풀에서 비트코인을 훔쳤다고 직접 비난했다. 그들은 도난당한 비트코인의 이동이 매우 느리고 은밀했다고 지적한다. 이것은 일반 범죄 조직의 행위로 보기 어렵다는 주장이다. 따라서 정부 차원의 개입 가능성이 높다고 결론지었다.

보고서는 "미국 정부가 2020년부터 첸 지가 보유한 비트코인을 빼앗기 위해 해킹 기술을 사용했을 수 있다"고 주장했다. 그들은 이 사건을 국가 해킹 조직이 주도한 전형적인 '흑인이 검은색을 먹는(Black eats Black)' 사건이라고 규정했다. 즉, 범죄 수익금을 노린 국가 권력의 사이버 작전(Cyber Operation)이라는 의미다.

NCVERC의 보고서 기술 섹션은 MilkSad 연구팀이 공개한 취약한 키, MT19937 시딩, 주소 일괄 처리, 고정 수수료 패턴 등에 대한 독립적인 공개 연구와 기술적으로 유사하다. 그러나 귀속(Attribution)의 도약은 정황 추론에 의존하고 있다. 이는 4년의 긴 휴면 기간과 코인의 최종 압수라는 사실에 근거한 것이다. 새로운 포렌식 증거나 국가 행위자를 특정하는 다른 표준 지표는 제시되지 않았다.

미 법무부 압수 후, 루비안 지갑도 움직였다

혼란을 가중시키는 활동도 포착되었다. 미 법무부의 압수 발표 이후 루비안 연계 지갑들이 새로운 활동을 보였기 때문이다.

△ 1차 이동 (10월 15일): 블록체인 모니터링 회사인 룩콘체인(Lookonchain)은 오랫동안 휴면 상태였던 주소가 1만1886 BTC(약 1조 7800억 원)를 여러 개의 새로운 지갑으로 옮겼다고 보고했다.

△ 2차 이동 (10월 22일): 일주일 뒤, 온체인렌즈에 따르면 또 다른 1만5959 BTC(약 2조 3900 원) 상당의 코인이 4개의 추가 지갑으로 이체됐다.

분석가들은 이 대규모 이적을 두고 격론을 벌이고 있다. 이 움직임이 방어적인 재할당(Reallocation)인지, 아니면 잠재적인 청산(Liquidation)을 앞둔 준비인지에 대한 논쟁이다. 모든 관련 지갑은 여전히 제재를 받고 있는 상태다. 첸 지의 행방은 현재 알려지지 않았다.

포렌식 전문가들이 제시한 세 가지 시각

독립적인 블록체인 포렌식 전문가들은 공개된 증거를 바탕으로 세 가지 일관된 해석을 제시한다.

1. 익명의 해커와 미국 당국의 획득

익명의 당사자가 약한 키 패턴을 발견하고 2020년에 비트코인을 인출했다. 코인은 대부분 휴면 상태로 방치되었다. 나중에 미국 당국이 첸 지에 대한 장치 압수, 협력 증인 확보, 또는 관련 조사 수단(Investigation Method)을 통해 개인 키를 획득했다. 2024년에서 2025년에 걸쳐 코인을 통합하고 몰수 신청으로 절정에 달했다는 시나리오다.

2. 내부 이동 또는 자금 세탁

루비안과 관련 기관이 첸 지의 프린스 그룹 내부의 재무 및 세탁 네트워크의 일부로 취급될 수 있다는 시나리오다. 명백한 해킹은 약한 키가 제어하는 지갑 간의 불투명한 내부 이동일 수 있다는 주장이다. 이는 법무부가 지갑을 첸에게 귀속시키고 몰수하는 논리와 일치한다. 그러나 공개 문서에는 첸의 네트워크가 특정 키를 어떻게 제어하게 되었는지 자세히 설명되어 있지 않다.

3. 중국 정부의 주장 (미국 국가 행위자의 최초 익스플로잇)

중국 NCVERC가 제기한 주장이다. 미국 국가 행위자가 2020년 작전에 책임이 있다는 것이다. 이 시나리오는 다른 독립적인 기술적 증거로 입증되지 않았다. 이 주장은 주로 긴 휴면 기간과 코인의 최종 미국 구금이라는 정황적 추론에 근거하고 있다.

논쟁의 여지가 없는 사실은 명확하다. 2020년 12월 루비안 주소에서 약 12만7000 BTC가 인출되었다. 이는 약한 키 패턴을 악용한 기술적 취약점 때문이었다. 이 코인은 수년 동안 휴면 상태였다. 2024년에 새로운 지갑으로 통합되었고, 2025년 미국 법무부의 몰수 조치로 이어졌다.

이 루비안 사건은 약한 난수 생성(Weak Random Number Generation)의 위험성을 보여주는 경고가 되었다. '약한 난수 생성'은 암호화폐 해킹 사건에서 종종 등장하는 보안의 치명적인 결함을 뜻한다. 이는 난수(Random Number)를 만드는 과정에 문제가 있어, 해커가 그 숫자를 쉽게 예측할 수 있게 만드는 취약점이다.유사한 취약점으로 2022년에 윈터뮤트(Wintermute)와 같은 회사에도 영향을 미쳤다. 한편, 미국과 영국은 별도의 대규모 비트코인 압수 사건에도 연루되어 있다. 이 사건들 역시 중국과 연계된 작전과 관련되어 있다. 영국 당국은 2018년 중국 사기 용의자로부터 압수한 50억 파운드(약 72억 달러, 한화 약 10조 8000억 원) 상당의 비트코인 보물을 관리하고 있다.

루비안 해킹 논란은 암호화폐의 초기 보안 실패에 대한 기준점이 되었다. 그러나 현재 이 사건은 단순한 기술적 해킹을 넘어 미국과 중국 간의 신뢰와 사이버 주권(을 시험하는 지정학적 갈등으로 격화되고 있다. 누가 2020년에 '버튼을 눌렀는지'에 대한 해답은 여전히 안개 속에 갇혀 있다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기