北, 지난해 2조원 규모 가상자산 털었다…전체 해킹액 40% 비중

등록 2023.03.30 16:06:58수정 2023.03.30 17:06:54

국정원·국보연 '北 가상자산 탈취 공격 대응 전략' 포럼 개최

호명규 체이널리시스 코리아 상무 "가산자산 이용한 北해킹 증가"

[서울=뉴시스] 최진석 기자 = 호명규 체이널리시스 코리아 상무가 30일 서울 중구 웨스틴 조선 서울에서 열린 제1회 사이버안보 정책 포럼에서 북한의 금융 해킹 기술동향 및 피해 사례를 발표하고 있다. 국가정보원과 국가보안기술연구소는 북한의 가상자산 탈취 등 사이버 위협이 심화되는 상황에서 정부의 정책추진 동향을 국민에게 알리고 정책보완 방안을 강구하기 위해 이번 포럼을 개최했다. 2023.03.30. [email protected]

【서울=뉴시스】송혜리 기자 = 지난해 북한 해커그룹이 탈취한 가상 자산 규모가 17억 달러(2조1000억원)에 육박한 것으로 나타났다. 이는 지난해 가상자산 전체 해킹 피해액 38억 달러(약 4조 9400억원)의 40%에 해당한다.

호명규 체이널리시스 코리아 상무는 30일 서울 웨스턴 조선호텔에서 열린 '北 가상자산 탈취 공격 대응 전략' 사이버안보 정책포럼에서 "가상자산을 탈취하기 위해 북한의 사이버 공격 빈도가 크게 늘고 있다"며 이같은 수치를 공개했다.

이날 포럼은 국가정보원과 국가보안기술연구소가 북한의 가상자산 탈취 등 사이버 위협이 심화되는 상황에서 정부의 정책추진 동향을 국민에게 알리고, 정책 보완 방안을 강구하기 위해 마련했다.

호명규 체이널리시스 코리아 상무는 "라자루스(Lazarus) 그룹 같은 북한 연계 해커들은 지난 몇 년 동안 단연코 가장 많은 범죄를 주도했다"고 밝혔다.

북한과 연계된 해커들이 탈취한 연간 총 가산자산(2016-2022)(사진=체이널리시스 코리아 제공) *재판매 및 DB 금지

호 상무에 따르면 2018년도에 북한 해커들은 돈세탁을 위해 수 백개의 중간지갑으로 비트코인을 전송하는 수법을 기본적으로 사용했다. 그러다 자금을 다시 통합했으며 고객확인절차(KYC)가 낮은 거래소를 활용해 현금화 했다.

이후 2019년 다른 코인들과의 스왑(교환) 및 믹싱 서비스를 이용(믹서)해 공격의 정교함을 올렸다. 믹서는 수사기관의 추적을 따돌리기 위해 개별 코인에 달린 꼬리표를 제거하는 역할을 맡는다. 2020년엔 비트코인의 비중을 낮아졌으나 알트코인의 비율은 50%이 넘었으며, 2021년엔 믹서의 비중 점점 높아지며 여러 개의 믹서를 사용해 현금화를 시도한 정황이 드러났다.

특히 북한과 연계된 해커들은 2021년부터 2022년까지 해킹으로 탈취한 가상자산을 세탁하기 위해 토네이도 캐시(Tornado Cash)란 믹서를 거의 독점적으로 사용했지만, 토네이도 캐시가 미국 재무부 해외자산통제국(OFAC) 제재 명단에 오르자 신바드(Sinbad)와 같은 새로운 믹서로 눈을 돌린 상태다.

호 상무는 2021년 리퀴드 닷컴 해킹사건과 지난해 액시인피니티 및 로닌브릿지 해킹 사건을 실례로 들었다.

리퀴드 닷컴 해킹사건은 2021년 8월 가상자산 거래소 리퀴드닷컴이 "한 비인가 사용자가 일부 가상자산 지갑에 접근해 67개의 서로 다른 ERC-20 토큰, 이더리움, 비트코인을 북한을 위해 활동하는 단체가 통제하는 지갑으로 전송했다"고 보고하면서 알려졌다.

이후 공격자는 탈중앙화 프로토콜을 이용해 각종 ERC-20 토큰을 이더리움으로 스왑하고, 비트코인으로 혼합해 새로운 지갑에 통합한 후 아시아의 암호화폐-법정 화폐 거래소에 입금했다. 이런 방식으로 약 9135만 달러의 가상자산이 이러한 방식으로 세탁됐다.

호 상무는 북한 해커들의 수법에서 나타나는 특징으로 ▲스피어 피싱(사칭 피싱) 및 RAT 악성코드 사용 ▲ERC-20 토큰을 이더리움으로 전환 ▲믹서 사용 ▲거래소에 도난자금 중 소액을 입금해 현금화를 시도한 후 입금액을 점점 증가시키는 것 등을 꼽았다.

◎공감언론 뉴시스 [email protected]