北 미사일 자금원 거론되는 '코인 해킹'…어떻게 현금화했나

등록 2022.11.07 17:38:36수정 2022.11.07 17:42:40

가상화폐 탈취에 北 연계 해커조직 ‘라자루스 전방위적으로 관여

수년간 훔친 가상자산 총 2조원 넘는 것으로 알려져

가상화폐 쪼개는 ‘믹서’ 수법 포함해 여러단계 세탁과정 거쳐 추적 회피

보안 전문가들 "갈수록 대담한 수법 사용"

북한이 가상화폐를 탈취해 최근까지 약 2조원 이상 확보한 것으로 알려진 가운데 이를 주도한 해커그룹 라자루스(Lazarus)가 재조명되고 있다. (사진=뉴시스 그래픽)

[서울=뉴시스]송종호 기자 = 북한의 핵무기 개발 및 미사일 도발 비용 조달원으로 '가상자산(코인) 해킹'이 유력하게 거론되면서 미 정보당국이 예의주시하는 해커그룹 '라자루스(Lazarus)'에 세간의 이목이 쏠리고 있다.

라자루스는 2007년 초부터 지금까지 활발하게 활동하고 있는 해커그룹으로 미 정보당국은 북한의 정찰총국과 연계돼 있다고 보고 있다. 라자루스는소니픽처스 해킹, 방글라데시 현금 탈취 사건, 워너크라이 랜섬웨어 사건 등 주요 배후로 거론돼왔으며, 이 조직을 통한 코인 거래소 해킹 등을 통해 북한이 최소 2조원 가까운 자금(누적기준)을 확보할 수 있었다는 관측이다.

아무리 가상자산이 익명성을 기반으로 한다지만 어떻게 이같은 거금을 현금화할 수 있었을까.

라자루스는 거금을 어떻게 현금화했나

미국 재무부는 최근 '토네이도 캐시'도 제재했다. 토네이도 캐시는 믹서 전문업체로, 이 기업과 라자루스가 돈세탁했다는 게 미 정보당국의 추정이다. 믹서란 가상자산을 쪼개 누가 전송하고 현금화했는 지 알 수 없도록 만드는 기술을 말한다.

토네이도 캐시는 라자루스가 탈취한 4억5500만 달러(약 6384억원) 규모의 엑시 인피니티를 세탁해준 혐의를 받고 있다. 미 재무부 해외자산통제실(OFAC)에 따르면 토네이도 캐시는 2019년 설립 이래 70억 달러(약 9조8231억원)가 넘는 가상자산 세탁에 관여했다.

그동안 미국 정부는 라자루스를 비롯해 북한 해커 조직이 훔친 가상자산를 현금으로 세탁하는 데 도와준 기업이나 개인에게 제재를 가하고 있다. 이에 자금세탁 수단이 줄어든 라자루스가 믹서 업체를 적극 활용하고 있는 것으로 추정된다. 지난 5월에도 이와 유사한 혐의로 또다른 믹스업체인 '블렌더'가 미 재무부의 제재를 받았다. 라자루스가 가상자산을 세탁하는데 조력했다는 이유다.

블록체인 데이터 분석 업체 체이널리시스에 따르면, 라자루스는 사이버 해킹을 통해 훔친 코인을 현금화하는데 여러 단계의 세탁 과정을 거쳐 추적을 따돌린다. 가령, 특정 가상자산을 훔쳐 이를 이더리움 환전용 지갑에 담은 뒤 믹스 업체를 통해 취합된 이더리움을 쪼개 흔적을 없앤다. 쪼개진 이더리움을 비트코인으로 환전하고 또다시 혼합한다. 이 과정을 여러 번 반복한 뒤 현금으로 나눠서 인출하는 방식을 사용한다.

미 정부 당국의 믹서 업체 제재가 본격화되면서 라자루스가 자금 추적을 회피하기 위해 훔친 코인을 1만개가 넘는 가상자산 계좌로 분산해서 담는 등 용의주도함으로 보였다는 게 체이널리스의 분석이다. 미국 FBI(연방수사국) 소속 암호화폐 전문가인 닉 칼슨 TRM랩스 분석관은 얼마전 미국의소리(VOA)방송에 출연해 "라자루스가 탈취한 가상자산을 세탁해 현금화하는 수법이 상당히 발전했다"며 "특히 북한 해커들은 추적 당할 위험을 감수하고 빠른 현금화를 위해 돈세탁에 필요한 난독화(분석을 어렵게 만드는 기술)를 생략하는 등 보다 과감해지고 있다"고도 털어놨다.

가상자산 거래소 뒤흔드는 라자루스…北 정찰총국과 연계?

라자루스는 지난 3월 블록체인 게임으로 동남아 지역에서 선풍적인 인기를 끌었던 '엑시 인피니티'를 해킹한 배후조직으로 알려지면서 세간의 주목을 받았다.

라자루스 그룹이 가상자산 해킹에 연루된 것은 이번이 처음은 아니다. 체이널리시스에 따르면 2017년과 2020년 사이에 라자루스 그룹에 의해 도난당한 가상자산 규모는 17억5000만달러(약 2조 4561억원)로 추정된다.

미국 국토안보부 산하 사이버안보·기간시설안보국(CISA)은 지난 4월 미연방수사국(FBI), 재무부와 함께 북한 해킹 조직 ‘라자루스’의 해킹 공격 위험을 경고하는 사이버주의보를 발령했다. 지난 몇년간 발생한 주요 가상자산 거래소를 상대로 한 해킹 공격이나 가상 계좌 유출 사건의 배후로 라자루스를 지목한 것이다. 연방 검찰은 공소장에서 “북한과 연계된 해커들이 다른 자금세탁 범죄자들과 공모해 3곳의 가상 자산 거래소에서 가상 자산을 훔쳐왔다”고 밝혔다. 그러다 지난 6월에도 라자루스는 미국 블록체인 기술 기업인 하모니에서 1억 달러 가상자산을 해킹한 정황이 또다시 포착됐다.

단정짓긴 어렵지만 최근 수년간 국내 가상자산 거래소 해킹에도 라자루스가 관여돼 있을 것으로 보안 전문가들은 추정하고 있다.

라자루스는 지난 2014년 소니픽쳐스를 해킹해 기밀 자료를 공개 유출했다는 의혹을 받으면서 처음으로 이름을 알렸다. 소니픽쳐스가 김정은 북한 국무위원장의 암살을 다룬 영화 '인터뷰' 제작을 중단하라는 요구를 들어주지 않자 보복 해킹을 단행한 것이다. 이후 2016년 방글라데시 중앙은행에서 발생한 8100만 달러(약 1005억원) 탈취사건과 2017년 전세계 150여개국 30여만대 컴퓨터를 공격한 워너크라이 랜섬웨어의 배후로도 알려진 바 있다.

보안 전문가들은 라자루스의 배후로 북한 정찰총국을 꼽고 있다. 북한이 2009년 정찰총국 산하에 전자정찰국 사이버전지도국(121국)을 설치했고, 군 총참모부 산하 지휘자동화대학 졸업생들을 정찰총국 산하 해킹부대에 배치하는 등 정보전 역량을 크게 강화해왔다는 주장이다. 하지만 북한은 일관되게 라자루스와의 연관성을 부인하고 있다.

◎공감언론 뉴시스 [email protected]