[블록미디어 James Jung 기자] 북한 당국이 직접 컨트롤한다고 알려진 해커 그룹 라자루스(Lazarus)는 그 이름이 성서에서 나왔다. 종교의 자유가 없는 북한에서 성서라니. 예수가 행한 기적 중 유일하게 죽은 자를 살린 것이 ‘라자로’인데, 라자루스는 여기서 나왔다.
이 해커 그룹이 부활의 뜻을 알고 있는지는 알 수 없으나, 라자루스의 행동은 자다가도 벌떡 일어나게 만들 만큼 놀랍다. 적게는 수 백 억 원에서 많게는 수 천 억 원 단위로 암호화폐를 해킹하고 있기 때문이다.
# 해킹은 비즈니스
북한이 암호화폐 해킹에 주력하는 이유는 ‘이 사업’이 돈이 되기 때문이다. 한국은행 통계에 따르면 지난해 북한의 수출 총액은 8000만 달러다. 1000억 원이 약간 넘는다. 해킹 한 번으로 연간 수출액에 맞먹는 ‘외화벌이’가 되니, 이 사업을 마다할 리 없다.
블록체인 보안 컨설팅 회사 체이널리시스에 따르면 2017년부터 2021년까지 49 차례 암호화폐를 해킹했다. 이중 세탁을 하지 않고 들고 있는 코인만 1억7000만 달러에 달한다.
북한 해커들은 2018년 1월 일본 가상화폐 거래소 코인체크를 털어 5억3400만 달러를 탈취했다. 작년에는 엑시인피니티에서만 6억 달러를 훔쳤다.
# 창과 방패
그런데 왜 암호화폐일까?
해킹은 수 만 가지 사례가 있지만, 크게 보면 세 가지 유형이다. 첫째, 훔친다. 둘째, 훔쳤다 되판다. 셋째, 그냥 파괴한다.
군사적으로 의미 있는 해킹은 마지막이다. 전산망에 침투해서 시스템을 망가뜨린다. 후방을 교란하고, 통신을 마비시킨다. 대포와 미사일을 쓰지 않을 뿐이지, 사이버 전쟁이다.
돈이 되는 해킹은 앞에 두 경우다.
예를 들어 라자루스가 은행 전산망에 침입했다고 치자. 특정 계좌에서 돈을 빼돌려 자신들의 계좌로 이체를 시킨다. 글자 그대로 돈을 훔치는 거다.
훔쳤다 되파는 것은 뭘까? 대표적인 것이 랜샘웨어(ransomware)라는 거다. 시스템에 엉뚱한 프로그램을 심는다. 각종 기밀자료, 데이터를 장악한다. 사실상 훔친 것이다. 이걸 해당 시스템 운영사에 돈을 받고 되판다.(랜섬, 몸값) 아니면 누군가 이 정보를 정말 갖고 싶은 세력에게 돈을 받고 판다.
라자루스 등 해커 집단들은 이런 방법으로 돈을 갈취하는데, 이를 막기 위한 방패 역시 만만치 않다. .
국내 A 조선사는 세계적인 기술력을 가진 기업이다. 이 회사는 하루에도 수 천 건의 해킹 시도를 막아낸다. 서버에 들어와서 배 만드는 기술을 훔치려는 해커들이 시도때도 없이 공격을 한다. 다 막아낸다.
금융회사들도 마찬가지다. 창이 예리하면 방패도 그에 못지 않게 강하다. 해커들 입장에서 한 건을 해내기가 어렵다. 라자루스도 새로운 시장 개척이 필요했다. 그 때 눈에 들어온 것이 가상자산 시장, 암호화폐 시장이었다.
# 해커들의 신시장, 암호화폐
체이널리시스에 따르면 북한은 올해에만 10억 달러, 1조4000억 원의 암호화폐를 훔쳤다. 암호화폐 시장이 얼마나 크길래? 대략 9000억 달러를 왔다갔다 한다. 해커들에게는 충분히 큰 먹잇감이다.
블록체인은 해킹이 불가능하다며? 맞다. 블록체인 자체는 해킹 사례가 거의 없다. 비트코인은 지난 13년 간 단 한 번도 멈추거나, 해킹 당한 적이 없다. 이더리움도 사건사고는 있었지만 온전히 체인이 털린 적은 없다.
그럼 라자루스는 암호화폐를 어떻게 해킹한단 말인가? 라자루스가 신출귀몰, 정말 죽음에서 돌아온 자인가?
라자루스는 지갑을 턴다. 암호화폐를 담고 있는 지갑을 해킹하는 것이다. 암호화폐 네트워크 자체는 난공불락이다. 암호화폐를 많이 보유하고 있는 가상자산 거래소, 투자회사, 개인 등을 공격한다.
일본 경찰 당국은 라자루스가 일본의 주요 암호화폐 거래소를 해킹한 주범이라고 지목했다. 미국 당국도 북한이 주요 거래소를 해킹했다고 밝혔다.
암호화폐 거래소들도 나름 보안을 강화하고 해킹 공격을 막는 능력을 고도화하면서 이같은 피해를 줄이려고 힘쓰고 있다. 이렇게 특정 기관에 대한 해킹 공격은 보안에 대한 투자를 하면 어느 정도 방어가 된다.
문제는 암호화폐 시장이 성장하면서 전혀 새로운 보안 취약성이 나타났다는 것이다. 가상자산 시장은 탈중앙금융(DeFi), 대체불가능토큰(NFT), 메타버스 등으로 확장하고 있다. 이러한 시장 확장은 필연적으로 블록체인 네트워크 간 이동을 수반한다.
# 다리(브릿지)를 공격하는 해커들
해커들이 바로 이 지점을 뚫고 들어가 돈을 훔치기 시작했다. 대표적인 사례가 엑시인피니티(이하 엑시)의 암호화폐 시스템을 털어간 사건이다. 라자루스는 엑시를 공격해서 6억 달러를 훔쳤다.
이 때 엑시를 공격한 수법이 기존 지갑 털기와 달랐다. 크로스 체인 브릿지(Cross Chain Bridge)를 장악해 공격함으로써 암호화폐를 빼갔다.
중세 시대 성을 생각해보자. 높은 성벽과 해자로 보호를 받는다. 밖에서 아무리 공격을 해도 성은 무너지지 않는다. 외적이 침입할 것 같으면 성으로 들어가 문을 닫고 버티면 된다.
그렇다면 성과 성은 어떻게 연결할까?
비트코인 그 자체, 이더리움 그 자체는 해킹을 허용하지 않는 탄탄한 성이다. 문제는 성 밖을 나와서 다른 성으로 가야할 일이 있을 때 벌어진다.
성과 성을 연결하는 다리, 브릿지에 도둑들이 있다면?
크로스 체인 브릿지가 라자루스의 공격 포인트였다. 그럼 왜 성과 성을 이동할까? 앞서 얘기했듯이 가상자산 시장이 발달하면서 하나의 블록체인에서 또 다른 블록체인으로 자유자재로 이동할 일이 생겼다.
엑시의 경우도 사용자들이 좀 더 신속하게 편하게 게임을 할 수 있게 하려고 자체 브릿지 시스템을 만들었다. 서로 다른 블록체인을 쓰는 더 많은 유저를 끌어들이고, 게임으로 벌어들인 코인을 쉽게 교환하기 위해 다리는 만든 것.
# 결국은 탈중앙성 강화가 답이다
이 다리가 작동하는 원리는 이렇다.
비트코인 성에 사는 로미오는 이더리움 성에 사는 줄리엣에게 전령을 보냈다. 로미오는 자신이 가지고 있는 비트코인 300 개 중 100 개를 줄리엣에게 선물한다고 편지를 썼다. 줄리엣은 그 편지를 이더리움 성주에게 보여주고, 100 비트코인에 해당하는 이더리움으로 교환한다. 로미오는 선물로 준 100 개 비트코인을 별도로 보관한다. 나중에 이더리움 성주가 편지를 제시하면 그 때 100 개를 내줘야하기 때문이다.
로미오와 줄리엣은 각자 다른 성에 살고 있지만 암호화폐를 주고 받았다. 비트코인 자체가 움직인 것이 아니라 편지, 즉 메시지만 교환했다. 비트코인 네트워크와 이더리움 네트워크는 이 메시지를 체인 상에 기록함으로써 코인을 진짜 주고받은 것처럼 처리하면 된다.
다리를 통해 이동한 것은 코인이 아니라 메시지다. 라자루스는 이 메시지를 가로채거나, 조작하는 수법을 썼다.
사실 로미오는 줄리엣을 모른다. 선물로 100 비트코인을 주지도 않았다. 라자루스는 마치 로미오가 줄리엣에서 선물을 주는 것처럼 편지 자체를 위조했다. 위조한 편지로 이더리움 성에 가서 코인을 받아 가로챈 것이다.
라자루스는 훔친 이더리움을 여러 단계의 돈 세탁 과정을 거쳐서 자신들의 지갑으로 이동시켰다.
그렇다면 브릿지는 왜 보안에 취약한가? 가짜 편지를 구별조차 하지 못한단 말인가? 브릿지 기술이 충분히 성숙하지 않았기 때문에 보안에 구멍이 생긴 것이다. 로미오의 편지가 진짜인지 브릿지에서 일일이 확인을 하기는 한다. 그런데 교묘하게 시차를 두고 확인을 하도록 장애를 일으키거나, 편지를 검증하는 검증인 자체를 내편으로 만드는 해킹 수법을 썼다.
충분히 많은 검증인과 충분히 많은 검토 단계를 거쳤다면 가짜 편지는 걸러졌을 것이다. 그러나 이렇게 되면 시간이 많이 걸리고, 비용도 들어간다. 엑시는 이 절차를 간소화하는 바람에 큰 도둑을 맞은 것이다.
한 명의 도둑을 열 명의 경찰이 못잡는다는 말이 있다. 가상자산 시장이 급속도로 발전함에 따라 보안 취약점도 여기 저기 나타나고 있다. 전문가들에 따르면 해커를 100% 박멸하는 것은 사실상 불가능하다. 실시간으로 모니터링하면서 취약점을 틀어막는 수 밖에 없다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사
