[파이낸셜뉴스] 미국이 북한 당국 차원의 해킹그룹인 라자루스그룹(Lazarus Group)에 대한 새로운 제재를 결정했다. 최근 있었던 돈버는 게임(플레이투언, P2E) '엑시인피니티'의 6억달러(약 7400억원) 규모 해킹 배후로 라자루스그룹을 지목한 것이다. 미국 당국은 라자루스그룹이 6억달러 상당의 이더리움(ETH)과 USD코인(USDC)가 탈취했다고 보고 있다. CNBC는 18일(현지시간) 라자루스그룹이 미국 내 가상자산 거래소에 보유하고 있는 자금을 가져가지 못하도록 하기 위해 확인된 이더리움 지갑과 거래하는 것을 재무부가 금지하기로 했다고 보도했다. 라자루스그룹은 2014년 소니픽처스 해킹, 2017년 워너크라이 랜섬웨어 공격 등 수년간 여러차례 사이버공격을 단행한 것으로 알려져 있다. 북한은 그 동안 미국의 제재를 회피하기 위해 가상자산을 활용했다는 전문가들의 분석이 있었다. 실제 최근 미국의 가상자산 전문가 버질 그리피스는 북한이 가상자산을 활용해 제재를 회피할 수 있도록 도운 혐의로 징역 5년을 선고 받기도 했다. 최근 엑시인피니티에 사용되는 이더리움 사이드 체인인 로닌(Ronin)이 6억달러 규모 해킹을 당했는데, 미국 정부 당국은 이것이 라자루스그룹과 연관된 것으로 파악하고 있다. 英가상자산거래소 엑스모, 러시아서 철수 영국 런던에 본사를 둔 가상자산 거래소 엑스모(Exmo)가 러시아와 벨라루스에서 정식으로 영업을 중단한 최초의 가상자산 거래소가 됐다. 코인텔레그래프는 18일(현지시간) 엑스모가 러시아와 벨라루스 현지에서 운영하는 사업체를 러시아 소프트웨어 개발회사에 매각하기로 했다고 보도했다. 엑스코의 레세르히 즈다노프(Serhii Zhdanov) 최고경영자(CEO)는 "불행하게도 우리는 더 이상 고위험 시장에서 사업을 유지해 글로벌 확장 계획을 위험에 빠뜨리지 않도록 매각을 결정했다"고 밝혔다. 엑스모의 사업 매각 대상에는 러시아 및 벨라루스 고객의 계좌와 현지 통화 연계 시스템 등이다. 인수를 결정한 회사가 카자흐스탄에서도 사업을 하고 있기 때문에 엑스모는 이번에 카자흐스탄 사업체도 함께 매각했다. 엑스모는 러시아 출신 기업가인 이반 페투홉스키와 파벨 레르너가 지난 2013년 설립한 가상자산 거래소다. 러시아 사업 비중이 컸기 때문에 이번 조치로 매출에 타격을 받을 전망이다. 즈다노프 CEO는 "이번 매각으로 거의 30%의 매출 감소가 있을 전망"이라며 "그러나 장기적으로 봤을 때 이 조치가 우리의 성장을 가속화시켜 3년 내 유니콘이 될 수 있을 것으로 확신한다"고 말했다. 한편 바이낸스 같은 일부 글로벌 거래소들은 여전히 러시아에서 사업을 하고 있다. 이들은 전체 국가가 아닌 특정 개인을 대상으로만 제재하는 원칙을 고수하고 있다. 태국 에너지회사, 바이낸스에 투자 태국의 억만장자 사라스 라타나바디(Sarath Ratanavadi)가 소유한 에너지회사가 바이낸스에 투자했다. 더블록은 18일(현지시간) 태국의 걸프에너지가 자회사를 통해 바이낸스US 운영사인 BAM트레이딩서비스에 전략적 투자를 단행하고, 합작사를 설립하기로 했다고 보도했다. 합작사는 설립 후 당국에 가상자산 사업 인가를 신청할 계획이다. 걸프에너지는 바이낸스 자체 가상자산인 BNB(BNB)에도 투자했다. 걸프에너지는 "이번 투자가 디지털 인프라 분야의 선두주자가 되기 위한 기회를 제공할 것"이라고 밝혔다. 걸프에너지와 바이낸스 간 협력은 지난 수개월째 이어지고 있다. 바이낸스는 동남아시아 지역에서 사업을 재개하는 것을 모색하고 있다. 지난 해 7월 태국 규제 당국은 바이낸스가 자국에서 불법적으로 가상자산 사업을 하고 있다고 고발했다. 이 외에도 바이낸스는 일본, 영국, 케이맨제도, 캐나다 온타리오주 등에서 규제 검토 대상이 된 바 있다. ronia@fnnews.com 이설영 기자

#. 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 "가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다"면서 "향후에도 예방과 회복에 최선을 다할 것"이라고 말했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스] 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 “가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다”면서 “향후에도 예방과 회복에 최선을 다할 것”이라고 말했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스]  최근 5년간 국내·외로부터 7000건이 넘는 사이버 공격을 받았지만 단 한 번도 뚫리지 않는 곳이 있어 주목받고 있다. 정부기관을 비롯해 행정부처, 언론사, 기업 등을 가리지 않고 사이버 보안이 뚫려 국가안보와 막대한 재산상 피해를 입고 민감한 국민들의 개인정보까지 해킹당하는 사례가 끊이지 않는 상황에서 정교한 사이버 보안시스템을 갖춘 곳은 과연 어딜까? 바로 징집·소집과 병무행정 등을 총괄하는 병무청이다. 7일 병무청에 따르면, 최근 5년간 총 7121건의 대내외적 무차별적인 해킹에도 정보보호 시스템 확립과 즉각적인 차단 조치, 상시 감시체제 가동 등으로 단 한 건의 해킹 피해가 발생하지 않았다. 안보기관으로서 군 복무와 관련된 중요한 병역자료를 관리하고 있는 병무청은 국내·외 해커들에게 민감한 타깃이 될 수 있다. 무차별적인 사이버 공격 시도가 급격히 증가하는 추이에서 병무청의 사이버 위협에 대한 성공적인 대응은 모범적인 대표적 사례라고 전문가들은 평가했다. ■전문 조직 구성, 3단계 정보보호 방어체계 구축 이 같은 병무청의 전산망 보호 시스템의 성과는 사이버 위협에 대응하기 위해 강력한 정보보호 체계를 구축·운영해 온 결과이다.  병무청은 국가 사이버안보센터와 위협 정보를 실시간 공유.반영해 알려진 각종 위협요소들을 사전에 차단하는 등 보안정책을 최신자료로 현행화해 관리하고 있다. 구체적으로는 △전문화된 정보보호 조직을 구성해 역량을 강화했다. 2021년 7월에 정보보호팀을 별도 조직으로 분리·운영해 사이버 보안 및 개인정보보호를 전문적으로 대응하고 있다. 팀에 선발된 직원들은 전문기관 및 민간 기업으로부터 주기적으로 교육을 이수하고, 전체 직원이 정보보호의 중요성을 인식하도록 교육 및 컨설팅도 주기적으로 실시하고 있다. 아울러 병무청은 △사이버 위협에 체계적인 대응을 위해 3단계 정보보호 방어체계를 구축했다. 1단계는 '망분리 체계'로 병역자료 등이 담긴 내부 업무망과 국민들이 민원신청 등을 위한 외부 인터넷망을 물리적으로 분리해 내부 업무망 접근을 원천적으로 단절·차단·관리함으로써 외부 해킹의 위험성을 크게 낮췄다. 2단계는 '정보보호 시스템 운영'이다. 내부 업무망도 통제를 강화해 본인확인(인증) 및 업무 권한을 제어하고 비인가 단말기(PC 등)에 대해서도 망 접근을 엄격히 통제하고 있다. 자료 유출 예방을 위한 매체제어 시스템을 통해 내부자료의 외부 전송을 원천적으로 금지한다. 유해사이트 차단 시스템으로 민간상용메일을 통한 외부 자료전송을 막고 있으며, 외부 자료전송은 보안이 강화된 공직자 통합메일을 통해서만 가능하다. 또한 병역자료 DB와 모든 문서들은 암호화해 관리되고 있어 병무청 외부에서는 복호화가 불가능해 자료유출을 예방할 수 있다. 이어 3단계는 '사이버안전센터 운영'이다. 병무청 망과 시스템 상황을 모니터링 하고 네트워크 및 시스템에서 발생하는 다양한 이벤트를 24시간 365일 실시간으로 확인·분석해 각종 보안 위협을 식별하고 대응한다. 안전센터 관제 모니터에 위협 징후들이 표출되면, 관제요원들이 직접 침입 시도 등 각종 이상 행위들을 확인하고 차단한다. 이어 위협 상황에 대해 원인 분석→보안 취약점 개선→관련 프로세스 실행 차단→·비인가 소프트웨어(SW) 삭제 등의 조치를 취한다. ■한반도 둘러싼 국제정세 변화, 사이버 보안 위기 사이버 공격은 물리적 공격과는 달리 즉각적이고 신속하게 수행될 수 있으며, 특정 기업·국가·인프라 등을 목표로 빠른 시간 안에 큰 피해를 줄 수 있다. 최근 신냉전을 틈타 북한, 러시아, 중국 등 현상변경 진영 국가들을 중심으로 사이버 공격이 급격히 증가하고 있다. 이들 국가들은 사이버 영역을 제3의 전장으로 규정하고 전문화된 해커와 해킹 그룹을 양성해 사실상 사이버 전쟁에 준하는 공격을 감행하고 있는 것으로 관측된다. 북한의 경우 과거 여러 사례가 있지만 최근 올해 4월에 북한의 대표 해킹조직 3곳(라자루스, 안다리엘, 김수키)이 합동으로 국내 방산업체를 악성코드로 공격하여 10여곳을 해킹하고 기술자료를 탈취했다. 이어 북한은 5월에는 법원 전산망에 2년간 지속적으로 침투해 내부 서버들에 악성코드 감염시켜 자료를 외부로 유출한 사실이 드러났다. 중국 해커 니옌은 올해 1월 국내 웹사이트 중 보안에 취약한 IP주소 1만개 이상을 텔레그램에 공유하고, 해킹하는 과정을 유튜브에 공개하는 등 한국에 대한 해킹을 부추기기도 했다. 앞서 중국의 해킹조직 ‘샤오치잉’은 지난해 1월, 한국의 정부 및 공공기관을 2000개 이상 해킹하겠다고 선전포고한 바 있다. 같은해 2월에는 한국인터넷진흥원(KISA)을 타깃으로 한 사이버공격을 예고하는 등 대규모 해킹 작전을 감행했다. 이로 인해 연구소 등 일부 보안이 취약한 공공기관이 해킹을 당했다. 친 러시아 해커집단 사이버 드래건(Cyber Dragon)은 올해 6월 윤석열 대통령의 우크라이나 회의 참석 이후 ‘한국은 키이우(우크라이나 수도) 정권을 지지하며 러시아 혐오증을 조장하는 국가’로 규정하고 한국 정부와 금융사 5곳을 공격했다. 또한 해킹그룹 데드섹(DedSec)은 정부 홈페이지에 사이버 공격을 가해 약 1시간 정도 접속장애를 일으키기도 했다. 이같이 제4차 산업혁명 등 정보통신(ICT) 기술환경 변화에 따라 사이버 공격 또한 갈수록 고도화·지능화 되고 있다. ■사이버 공격 진화에 대응...차세대 탐지·방어 체계 구축 대한민국은 헌법에 의해 ‘모든 국민은 국방의 의무를 진다고 규정돼 있다. 병무청은 병역이행 과정에서 발생하는 모든 병역 의무자들의 병역 자료를 관리하면서, 헌법과 병역법에 따라 투명하고 공정하게 법을 집행하는 기관이다. 병무청에선 차질없는 병역이행을 위해 병역의무자들이 18세가 되면 병역준비역으로 편입, 19세에 병역판정검사를 실시한 후 그 결과에 따라 20세부터 현역·보충역 등의 병역이행을 수행 할 수 있도록 서비스를 제공한다. 아울러 전역 이후에도 예비군 편성 및 병력동원까지 업무를 수행한다. 병무청이 보유하고 있는 데이터는 우리나라 20대 남성 대다수의 의료 기록을 포함한 병역자료로 평시 군 입영과 전시 병력동원 등과 직결돼 있다. 이 때문에 해킹에 의한 병역자료의 위변조 및 외부 유출은 개인적인 피해뿐만 아니라 국가 안보와 사회에 치명적 위협이 될 수 있다. 따라서 사이버 위협에 대한 병역자료의 안전성을 보장하기 위한 정보보호 의식, 사이버 위협·공격에 대응하기 위한 조직 및 정보보호체계 강화·운영·관리는 매우 중요하다고 병무청은 거듭 강조했다. 최근 인공지능(AI), 클라우드, 챗GPT 등 다양한 신기술의 등장과 코로나19 이후 비대면 업무의 부각 등 ICT 환경이 급속히 변화, 발전하면서 사이버 공격 기술도 진화하고 있다. 병무청은 선제적 대응을 위해 최신 정보보호 시스템 도입 필요성을 절감하고, 2025년에는 차세대 지능형 침입 탐지·방어 체계 구축을 추진할 예정이다. 병무청 관계자는 “사이버 위협이 고조되는 위기상황 속에서도 정보보호 체계를 더욱더 강화해 전·평시 병역자료 및 비밀자료를 빈틈없이 안전하게 보호하고, 단 한 건이라도 보안사고 없이 철저한 관리로 병무행정의 공정성 및 신뢰성을 높이겠다”고 밝혔다. 국내 손꼽히는 정보계통의 전문가인 김황록 전 국방정보본부장(예비역 육군 중장)은 지금까지 보여준 병무청의 ‘전문화된 정보보호 조직 구성원들의 역량’과 사이버 위협에 대응하는 ‘3단계 정보보호 방어체계 구축 및 운영 성과’에 대해 높은 평가와 격려를 표했다. 그러면서 “국방 등 다양한 분야에서 ‘AI 해킹 방어’가 새롭게 주목받는 상황에서 사이버 해킹 공격에 대비한 실존적 총력 대응에 빈틈없는 태세를 갖춰야 한다”고 제언했다. wangjylee@fnnews.com 이종윤 기자

[파이낸셜뉴스] 북한 해커부대 라자루스 그룹(Lazarus Group)이 전세계 여러 곳으로부터 탈취한 가상자산의 일부를 캄보디아 소재의 금융서비스로 이동시켜 자금 세탁하고 있는 정황이 포착됐다. 18일 가상자산업계에 따르면 가상자산 추적분석 전문기업 클로인트는 자사의 크립토 리서치 센터(CRC)를 통해 라자루스의 해킹과 자금 세탁 경로를 추적했다. 라자루스는 지난 2007년 창설된 북한 정찰총국 소속의 해커 조직으로 작년에 발생한 사법부 전산망 해킹 사건의 주범으로 알려져 있으며, 전 세계의 주요 가상자산 거래소, 지갑 서비스 및 다양한 디파이(DeFi·탈중앙화 금융) 서비스를 대상으로 해킹 공격을 벌이고 있다. 매년 전세계에서 발생하는 가상자산 해킹사고의 절반 이상이 라자루스 등 북한 해커 조직의 소행으로 확인되고 있다. 클로인트는 라자루스가 관여한 전세계의 주요 해킹사고에 대한 자금 세탁 경로를 지속적으로 추적해 왔으며 지난 달 4일부터 이틀 동안 라자루스 탈취자금 중 약 180만달러의 자금이 토르체인(Thorchain Network)을 통해 캄보디아 소재의 후이원 그룹의 금융 자회사로 이동한 사실을 확인했다. 이 회사는 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목을 받고 있다.  영국계 블록체인 분석기업 일립틱 리서치(Elliptic Research)는 후이원 보증(Huione Guarantee)의 마켓플레이스에서 가상자산 지갑을 이용해 최소 100억 달러 규모의 거래가 일어났고 상당부분이 자금세탁과 사기에 관련돼 있다고 밝힌 바 있다. 클로인트 측은 "북한 라자루스 그룹은 전 세계에서 탈취한 암호화폐를 후이원 페이(Huione Pay) 서비스를 이용해 불법 자금을 전환 및 세탁하는 자금 루트를 활용하는 것으로 의심된다"라며 "특히 후이원 페이(Huione Pay) 이사진 중 훈 투(Hun To)는 현 캄보디아 총리 훈 마넷(Hun Manet)의 사촌으로 알려져 있고, 캄보디아의 느슨한 가상자산 규제와 맞물려 국제적인 수사나 금융 제재 시도를 무력화하는데 영향력을 발휘할 수 있다는 점이 우려되고 있다"라고 지적했다. 클로인트는 국내외의 수사기관 및 가상자산 해킹 피해자를 대상으로 탈취자금 추적분석 서비스를 제공하고 있으며, 이와 관련하여 가상자산 해킹 사건 발생 동향과 흐름을 신속하게 파악할 수 있는 ‘체인워처’ 서비스를 올해 2월에 출시하였고 전문적이고 체계적인 추적분석이 가능한 가상자산 인텔리전스 도구인 ‘한터’를 올해 하반기에 출시할 예정이다. fair@fnnews.com 한영준 기자

[파이낸셜뉴스] 지난해 드러난 사법부 전산망 해킹 사건이 북한 해킹그룹 '라자루스'의 소행이라는 경찰 판단이 나왔다. 우종수 경찰청 국가수사본부장은 4일 정례 기자간담회에서 '국가정보원이 해킹을 라자루스 소행으로 결론 내렸다'는 언론 보도에 대해 "경찰도 그렇게 보고 있다. 국정원과 필요한 정보를 공유하고 있다"고 밝혔다. 우 본부장은 "그동안 라자루스가 했던 여러 가지 범죄 패턴 등을 봤을 때 (라자루스의 해킹) 가능성이 높다고 본 것"이라며 "어떤 경로로 침입 됐는지, 유출된 자료의 중요도 등은 수사를 통해 규명해야 할 사항"이라고 했다. 앞서 법원행정처는 지난해 2월 사법부 전산망에서 악성코드를 탐지해 삭제한 바 있다. 이후 보안전문업체에 분석을 의뢰한 결과 라자루스가 주로 사용하는 것과 유사한 기법의 악성코드로 파악됐다. 경찰은 지난달 13일부터 수일에 걸쳐 경기도 성남시 분당에 있는 대법원 전산정보센터를 압수수색한 바 있다. 이어 안성 스타필드 번지점프 추락사고와 관련해 우 본부장은 "현재 당시 안전요원을 우선 입건했다"며 "향후 필요한 안전조치 관련 교육과 관리자 책임 등을 철저히 (파악해) 관리자 입건 여부를 검토하겠다"고 전했다. beruf@fnnews.com 이진혁 기자

[파이낸셜뉴스] 북한 등의 사이버 범죄들이 블록체인을 통한 자금세탁을 적극적으로 악용하고 있는 것으로 나타났다.  16일 블록체인 데이터 분석기업 체이널리시스가 발표한 ‘2024 가상자산 범죄 보고서 - 자금 세탁(Money Laundering)’에 따르면, 지난해 가상자산 기반 범죄자가 세탁한 불법 자금은 총 222억 달러(약 30조원)로, 지난 2022년에 경신한 역대 최고치인 315억달러(약 42조원)에 비해 약 30% 가량 감소한 수치라고 밝혔다. 보고서에 따르면, 전체 불법 자금의 62%가 모이는 중앙화 거래소는 가상자산을 법정화폐 환전(off-ramping) 서비스로 이용되는 주된 목적지로 나타났다. 하지만 중앙화 거래소는 충분히 불법 활동과 관련된 가상자산을 동결, 압류할 수 있기 때문에 엄격한 고객확인(KYC)와 자금세탁방지(AML) 조치를 시행하는 등 규정 준수에 대한 투자를 늘린다면 범죄자들의 현금화 전략을 막을 수 있다. 가상자산 자금 세탁은 일반적으로 제한된 수의 거래소에 집중돼 있는 것으로 드러났다. 2023년에 모든 환전 서비스로 전송된 불법 자금의 72%가량은 단 5개의 서비스로 이동했으며, 이는 전년도에 기록한 69%에서 소폭 증가한 수치다. 가상자산 기반 범죄자는 일반적으로 중앙화 거래소에서 대량의 주소로 불법 자금을 분산해 추적을 어렵게 하는 전략을 자행한다. 2023년에는 1425개의 주소가 각각 100만 달러(약 13억원) 이상의 불법 가상자산을 받았으며, 이는 한 해 동안 거래소가 받은 전체 불법 금액의 46%에 해당하는 67억 달러(약 8조9000억원)에 달한다. 킴 그라우어(Kim Grauer) 체이널리시스 연구 책임자는 “범죄자들은 법 집행 기관과 거래소 규정 준수 팀으로부터 자금 세탁 활동을 숨기기위해 더 많은 주소로 자금을 분산하고 있다. 이는 일부 자금이 동결, 압류될 경우에 피해를 줄이기 위한 전략으로 보인다”며, “범죄자는 향후 불법 자금을 더 분산할 것으로 보인다. 이에 대응하기 위해서는 온체인 활동에 대한 더 많은 지식과 이해가 필요하다”고 밝혔다. 또한, 보고서에 따르면 디파이의 인기가 높아짐에 따라 전체 자금 세탁 활동의 13%가 디파이에서 일어난 것으로 나타났다. 디파이로 유입되는 불법 자금은 지난 5년간 꾸준한 증가세를 보였다. 북한의 라자루스 그룹과 같은 북한 사이버 범죄자나 정교한 범죄자는 토네이도 캐시(Tornado Cash), 신바드(Sinbad) 폐쇄 및 제재대상 지정에 따라 또다른 믹서 서비스인 요믹스(YoMix)를 이용하는 것으로 나타났다. 요믹스는 2023년 한 해 동안 자금 유입이 5배 이상 증가했으며, 전체 유입 자금의 3분의 1은 가상자산 해킹 관련 지갑에서 들어온 것으로 드러났다. 새로운 믹서 서비스와 더불어 전문 해킹 범죄자는 크로스체인 브릿지를 통한 체인 호핑(chain hopping)도 악용하는 것으로 나타났다. 체인 호핑은 한 블록체인에서 다른 블록체인으로 자금을 이동해 자금 흐름을 추적하기 어렵게 하는 전략이다. 2022년에 3억 1,220만 달러(약 4,200억 원)의 불법 자금이 브릿지로 이동했지만, 2023년에는 7억 4,380만 달러(약 9,900억 원)로 두 배 이상 크게 증가했다. 백용기 체이널리시스 한국 지사장은 “라자루스 그룹과 같은 범죄 집단은 체인 호핑 등 새로운 자금 세탁 전략을 도입하며 끊임없이 변하고 있다. 이는 자금 세탁 전략이 가상자산 트렌드에 발맞추어 지속적인 진화를 거듭하는 것을 의미”한다며, “법 집행 기관이나 규정 준수 팀도 이에 따라 신규 자금 세탁 방법과 온체인 패턴을 숙지하고 효과적인 대응책을 연구해야 한다”고 전했다. fair@fnnews.com 한영준 기자

[파이낸셜뉴스] 법원행정처가 북한 해킹그룹 라자루스가 사법부 전산망을 해킹했다는 의혹에 대해 관계기간과 추가 조사를 실시한다. 8일 법원행정처는 "지난 7일 개인정보보호위원회에 관련 사실에 대한 신고를 마쳤고, 현재 국가정보원 등 보안전문기관과 함께 추가 조사방 안을 마련 중에 있다"고 전했다. 법원행정처는 지난 2월 사법부 전산망에서 라자도어 악성코드를 탐지해 즉시 삭제 조치한 후 보안전문업체에 악성코드 분석의뢰를 했다. 이후 전산정보관리국은 추가 피해 가능성을 방지하고자 보안 일일점검 강화, 전산망 내 취약점에 대한 전수 조사 및 필요 조치, 전산망 간의 이상 통신 흐름에 대한 실시간 모니터링 강화 조치 등 가능한 모든 조치를 시행하는 한편, 사안의 정확한 실체를 밝히기 위해 외부로 전송된 데이터의 정확한 규모, 내역, 배후 등을 파악하고자 했다. 일각에선 라자루스가 수백 기가바이트에 달하는 사법부 전산망 내 자료를 빼갔다는 의혹이 제기됐지만 법원행정처는 "라자루스 소행으로 단정할 수 없다"고 선을 그은 바 있다. 다만 행정처는 자체 대응으로는 근본적인 의혹을 해소하기에는 한계가 있다고 판단, 관계기관과 추가적 조치에 나선 것으로 보인다. 행정처는 "보안전문 관계기관과 함께 본 사안에 대해 투명하고 철저하게 조사해 원인, 경로, 피해 여부 등을 정확히 파악한 후 근본적인 재발방지대책을 마련하기 위해 최선을 다할 예정"이라고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 올해 초 법원 전산망이 악성코드에 감염됐던 사실이 뒤늦게 드러났다. 1일 법조계에 따르면 대법원 법원행정처는 전날 입장문을 내고 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 밝혔다. 법원 내 PC는 기본적으로 내부망만 접속할 수 있다. 다만 일부 가상화 PC는 별도 절차를 거치면 외부망 접근이 가능하다. 법원행정처는 "인터넷 가상화는 내부시스템과 분리된 인터넷 사용을 위한 시스템으로 인터넷을 사용하기 때문에 외부 사이트와 다량의 통신이 있을 수 있다"며 "가상화 PC에 외산 클라우드로 연결되는 통신 흐름을 확인했지만 외부 사이트와 다량의 통신을 하는 인터넷 특성상 데이터의 세부사항 특정이 불가하며 소송서류 등 유출 여부를 확인할 수 없다"고 설명했다. 아울러 "악성코드가 탐지된 장비는 자료가 임시로 저장된 후 삭제되는 서버"라고 밝혔다. 일각에서 북한 해킹 그룹으로 알려진 '라자루스'의 해킹 공격으로 소송서류와 재판기록 등 전자정보가 유출됐다는 의혹이 제기되기도 했지만, 법원행정처는 "라자루스로 단정할 수 없다"고 했다. jisseo@fnnews.com 서민지 기자

[파이낸셜뉴스] 올해 초 사법부 전산망이 악성코드에 감염됐던 것으로 뒤늦게 확인됐다. 대법원 법원행정처는 법원에서 사용하는 PC가 악성코드에 감염된 것을 올해 초 확인했다고 30일 밝혔다. 법원행정처는 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 했다. 법원 내 PC는 내부망만 접속할 수 있고 일부 가상화 PC만 예외적으로 별도 절차를 거쳐 통상적으로 사용하는 외부망에 접근할 수 있다. 인터넷 가상화는 내부 시스템과 분리된 인터넷 사용을 위한 시스템으로, 외부 사이트와 다량의 통신이 있을 수 있다고 법원행정처는 전했다. 외산 클라우드로 연결되는 통신 흐름을 확인했으나 데이터의 세부 사항 특정이 불가해 소송서류 등 유출 여부를 확인할 수는 없다고 덧붙였다. 북한의 해킹 그룹으로 알려진 '라자루스'의 공격 아니냐는 일각의 의혹에 대해서는 "북한 소행으로 단정할 수 없다"고 선을 그었다. 예민한 소송 관련 정보가 유출됐을 가능성에 대해서는 "악성코드가 탐지된 장비는 자료가 임시로 저장됐다가 삭제되는 서버"라며 확인되지 않았다고 부인했다. 올해 초 탐지 후 필요한 조처를 했으며 이후 추가적인 감염·해킹 등은 없었다고 법원행정처는 설명했다. unsaid@fnnews.com 강명연 기자