[블록미디어 안드레아 윤 에디터] 31일 외신 코인텔레그래프에 따르면 북한에서 출발한 사이버 공격이 △사회공학적 시도 △거래소에 대한 공격 △피싱 및 복잡한 공급망 장악으로 확대되고 있다. 이러한 공격들은 경우에 따라 1년 이상의 시간을 두고 진행되기도 한다. 암호화폐 전문 회사 패러다임(Paradigm)은 최근 발표한 보고서 ‘북한 위협 해부’를 통해 이 같은 사실을 경고했다.
북한 해커들의 사이버 공격은 점점 정교해지고 관련된 단체들도 늘어나고 있는 상황이다. 유엔은 2017년부터 2023년까지 북한 해커들이 약 30억 달러를 탈취한 것으로 추산했다. 특히 2024년과 올해에 성공한 공격으로 △와지르X(WazirX) △바이빗(Bybit) 거래소에서 17억 달러를 탈취하며 탈취 금액이 급증했다.
패러다임은 이러한 공격을 주도한 단체로 최소 다섯 개 조직을 지목했다. △라자루스 그룹(Lazarus Group) △스핀아웃(Spinout) △애플제우스(AppleJeus) △데인저러스 패스워드(Dangerous Password) △트레이터트레이더(TraitorTrader) 등이 그들이다. 이 외에도 북한 요원들이 IT 노동자로 위장해 전 세계 테크 기업들에 침투하고 있는 사실도 보고됐다.
# 대표적 공격 사례와 예상 가능한 세탁 방법
2016년 소니와 방글라데시 중앙은행 해킹, 2017년 워너크라이(WannaCry) 2.0 랜섬웨어 공격을 주도한 라자루스 그룹은 가장 잘 알려진 북한 해킹 팀으로 꼽힌다. 이들은 암호화폐 업계를 목표로도 치명적인 공격을 성공시켰다. 2017년 유빗(Youbit)과 빗썸(Bithumb) 거래소를 타깃으로 삼았으며, 2022년에는 로닌 브리지(Ronin Bridge) 해킹으로 수억 달러 상당의 자산을 탈취했다. 또한, 2025년 바이빗에서 15억 달러를 탈취하는 사건으로 전 세계 암호화폐 커뮤니티를 충격에 빠뜨렸다. 더불어 솔라나(Solana) 기반 밈코인 사기와 연관되었을 가능성도 제기되고 있다.
체이널리시스(Chainalysis) 등 다양한 기관의 분석에 따르면, 라자루스 그룹은 탈취 이후 예상 가능한 자금 세탁 방법을 사용한다. △탈취한 금액을 점점 더 작은 단위로 쪼개 다수의 월렛으로 흩뿌린 후 △유동성이 더 높은 코인으로 교환하며 △이를 비트코인(BTC)으로 변환한다. 이후에는 수사당국의 주목이 약해질 때까지 일정 기간 자금을 은닉한다.
현재 FBI는 라자루스 그룹의 세 명의 일원에 대해 사이버 범죄 혐의를 제기했고, 2021년 2월 미국 법무부는 이 중 두 명을 글로벌 사이버 범죄 혐의로 기소했다.
같이 보면 좋은 기사
