[블록미디어 서미희 기자] 북한 해커 조직 라자루스 그룹의 가상화폐 탈취 활동의 빈도와 규모가 해마다 급증하고 있는 것으로 나타났다.
가상자산 추척분석 전문기업 클로인트는 최근 발간한 “가상화폐 해킹 사건에 대한 북한 중심의 조사 분석 리포트(2022-2024.06)” 보고서를 인용, 라자루스 그룹의 가상화폐 공격이 급증하고 있다고 경고했다.
또한 해킹 수법과 자금 세탁 방식이 점점 더 고도화되고 있는 것으로 드러났다. 관련 해킹 건수는 전체의 약 4.7%에 불과하지만 피해 금액은 전체의 약 34%를 차지한다. 전체 사건중 확인되지 않은 사건들의 비중을 고려할 때 실제 비중은 50%를 상회할 것으로 추정된다.
클로인트는 2022년부터 2024년 6월 17일까지 발생한 총 944건의 해킹 사건 중, 규모가 100만 달러(약 13억원) 이상이거나 북한과의 연관성이 확인된 총 244건의 주요 해킹 사건에 대해서 구체적인 사건 개요 및 금액 흐름을 조사 분석했다.
특히 라자루스 그룹의 최근 가상화폐 탈취 및 자금 세탁 패턴에 대해 집중적으로 살폈다.
클로인트는 “라자루스 그룹에 초점을 두어 해킹 공격 방식, 브릿지 및 믹서를 통한 자금 세탁 방식, 자금 이동에 사용되는 주요 가상화폐, 가상화폐 탈취 활동과 미사일 실험 간의 상관관계 분석, 그리고 자금 세탁 사례 분석(후이원 페이)에 대한 내용으로 구성되어 있다”고 설명했다.
# 라자루스 그룹의 주요 공격방식…프라이빗 키 탈취와 소셜 엔지니어링 공격
보고서에 따르면, 라자루스 그룹의 주요 공격방식은 프라이빗 키 탈취와 소셜 엔지니어링 공격으로, 전체 공격 기법 중 63%를 차지하는 것으로 확인된다.
또한 라자루스 그룹이 탈취한 자금의 출처를 감추기 위해 주로 사용하는 자금세탁 기법은 토르체인과 토네이도 캐시 같은 크로스체인 브릿지와 믹서가 주로 활용되고 있는 것으로 나타났다. 최근 들어 토네이도 캐시 공동창업자 로만 스톰(Roman Storm)이 구속되는 등 미국 정부의 제재가 날이 갈수록 거세지자 레일건 믹서 및 동남아시아 지역 환전 서비스 이용 사례가 증가하는 등 새로운 자금세탁 루트를 확보하기 위해 노력하고 있는 것으로 드러났다.
가상화폐 종류에 따른 자금 이동량 비율을 비교한 내용에 따르면, 전체 사건에 비해 북한 관련 사건은 USDC의 비율이 11.3%, WBTC의 비율이 7.4% 높게 관찰됐다.
클로인트 측은 금년 상반기에 북한이 캄보디아의 후이원 페이를 사용하여 자금 세탁을 한 정황을 파악했다고 전했다.
보고서는 “후이원 페이와 같이 해당 국가의 KYC(Know Your Customer, 고객 확인) 등 가상화폐 규제가 미숙한 서비스가 세탁 과정의 주요 표적으로 사용될 것으로 전망되므로 이러한 서비스의 부상을 꾸준히 관찰할 필요가 있다”고 경고했다.
북한은 2022년 기준 북한의 가상화폐 탈취액이 수출액의 4.7배에 달해 대외 경제 활동보다 불법 사이버 활동을 통해 확보하는 자금이 압도적으로 증가한 것으로 나타났다. 이에 미사일 발사에 필요한 자금을 가상화폐 탈취로 충당하고 있는 것으로 분석된다.
지난 2016년 이후 북한의 가상자산 탈취 규모는 총 2조4000억원에 이르는 것으로 추산된다. 최근 국정원은 “북한 해커들이 신분을 숨긴 채 전세계 IT 기업에 위장 취업하는 동향을 예의주시하고 있다”며 우리 기업들의 주의를 당부하기도 했다.
클로인트 측은 “북한의 가상화폐 해킹 공격 수법이 점점 더 정교해지고 있어, 이에 대응하기 위한 가상화폐 사이버 보안 개선과 더불어 민관 및 국제 협력 강화가 시급하다”고 피력했다.
또한 “가상화폐 거래소에 대한 더욱 엄격한 규제, 크로스체인 브릿지 및 믹서에 대한 조사 강화, 그리고 진화하는 자금 세탁 기술에 대응하기 위한 추적 및 분석 도구의 개선이 필요하다”고 덧붙였다.
이어 “최근 들어 급증하고 있는 가상화폐 ETF 편입과 미국 대통령 후보자 트럼프의 비트코인 전략자산 보유 언급 등으로 인해 중요성이 부각되고 있는 가상자산 커스터디 사업자 등 신규 서비스에 대한 공격시도 가능성이 높다”고 설명했다.
한편, 클로인트는 국내외 수사기관과 가상화폐 해킹 피해자를 대상으로 탈취자금 추적분석 서비스를 제공하고 있다. 올해 2월에는 가상자산 해킹 사건 발생 동향을 실시간으로 파악할 수 있는 ‘체인워처’ 서비스를 출시했다.
같이 보면 좋은 기사