[파이낸셜뉴스] 미국이 북한 당국 차원의 해킹그룹인 라자루스그룹(Lazarus Group)에 대한 새로운 제재를 결정했다. 최근 있었던 돈버는 게임(플레이투언, P2E) '엑시인피니티'의 6억달러(약 7400억원) 규모 해킹 배후로 라자루스그룹을 지목한 것이다. 미국 당국은 라자루스그룹이 6억달러 상당의 이더리움(ETH)과 USD코인(USDC)가 탈취했다고 보고 있다. CNBC는 18일(현지시간) 라자루스그룹이 미국 내 가상자산 거래소에 보유하고 있는 자금을 가져가지 못하도록 하기 위해 확인된 이더리움 지갑과 거래하는 것을 재무부가 금지하기로 했다고 보도했다. 라자루스그룹은 2014년 소니픽처스 해킹, 2017년 워너크라이 랜섬웨어 공격 등 수년간 여러차례 사이버공격을 단행한 것으로 알려져 있다. 북한은 그 동안 미국의 제재를 회피하기 위해 가상자산을 활용했다는 전문가들의 분석이 있었다. 실제 최근 미국의 가상자산 전문가 버질 그리피스는 북한이 가상자산을 활용해 제재를 회피할 수 있도록 도운 혐의로 징역 5년을 선고 받기도 했다. 최근 엑시인피니티에 사용되는 이더리움 사이드 체인인 로닌(Ronin)이 6억달러 규모 해킹을 당했는데, 미국 정부 당국은 이것이 라자루스그룹과 연관된 것으로 파악하고 있다. 英가상자산거래소 엑스모, 러시아서 철수 영국 런던에 본사를 둔 가상자산 거래소 엑스모(Exmo)가 러시아와 벨라루스에서 정식으로 영업을 중단한 최초의 가상자산 거래소가 됐다. 코인텔레그래프는 18일(현지시간) 엑스모가 러시아와 벨라루스 현지에서 운영하는 사업체를 러시아 소프트웨어 개발회사에 매각하기로 했다고 보도했다. 엑스코의 레세르히 즈다노프(Serhii Zhdanov) 최고경영자(CEO)는 "불행하게도 우리는 더 이상 고위험 시장에서 사업을 유지해 글로벌 확장 계획을 위험에 빠뜨리지 않도록 매각을 결정했다"고 밝혔다. 엑스모의 사업 매각 대상에는 러시아 및 벨라루스 고객의 계좌와 현지 통화 연계 시스템 등이다. 인수를 결정한 회사가 카자흐스탄에서도 사업을 하고 있기 때문에 엑스모는 이번에 카자흐스탄 사업체도 함께 매각했다. 엑스모는 러시아 출신 기업가인 이반 페투홉스키와 파벨 레르너가 지난 2013년 설립한 가상자산 거래소다. 러시아 사업 비중이 컸기 때문에 이번 조치로 매출에 타격을 받을 전망이다. 즈다노프 CEO는 "이번 매각으로 거의 30%의 매출 감소가 있을 전망"이라며 "그러나 장기적으로 봤을 때 이 조치가 우리의 성장을 가속화시켜 3년 내 유니콘이 될 수 있을 것으로 확신한다"고 말했다. 한편 바이낸스 같은 일부 글로벌 거래소들은 여전히 러시아에서 사업을 하고 있다. 이들은 전체 국가가 아닌 특정 개인을 대상으로만 제재하는 원칙을 고수하고 있다. 태국 에너지회사, 바이낸스에 투자 태국의 억만장자 사라스 라타나바디(Sarath Ratanavadi)가 소유한 에너지회사가 바이낸스에 투자했다. 더블록은 18일(현지시간) 태국의 걸프에너지가 자회사를 통해 바이낸스US 운영사인 BAM트레이딩서비스에 전략적 투자를 단행하고, 합작사를 설립하기로 했다고 보도했다. 합작사는 설립 후 당국에 가상자산 사업 인가를 신청할 계획이다. 걸프에너지는 바이낸스 자체 가상자산인 BNB(BNB)에도 투자했다. 걸프에너지는 "이번 투자가 디지털 인프라 분야의 선두주자가 되기 위한 기회를 제공할 것"이라고 밝혔다. 걸프에너지와 바이낸스 간 협력은 지난 수개월째 이어지고 있다. 바이낸스는 동남아시아 지역에서 사업을 재개하는 것을 모색하고 있다. 지난 해 7월 태국 규제 당국은 바이낸스가 자국에서 불법적으로 가상자산 사업을 하고 있다고 고발했다. 이 외에도 바이낸스는 일본, 영국, 케이맨제도, 캐나다 온타리오주 등에서 규제 검토 대상이 된 바 있다. ronia@fnnews.com 이설영 기자
2022-04-19 08:26:53[파이낸셜뉴스] 미국 암호화폐 거래소 크라켄은 지난해 10월 소프트웨어 엔지니어링 직책에 지원한 '스티븐 스미스'의 이력서를 메일로 받았다. 뉴욕대학교에서 컴퓨터공학 학사 학위를 받은 스티븐 스미스는 시스코와 킨들리 휴먼 등 미국 기업에서 소프트웨어 엔지니어로 11년 이상 근무했다. 크라켄은 학력부터 경력까지 더할 나위 없어 보이는 스티븐 스비스의 이력서에서 수상한 걸 감지했다. 그의 이메일 주소는 북한의 해커 조직원으로 의심되는 리스트에 있었다. 크라켄의 최고 보안 책임자(CSO)인 닉 퍼코코는 그 이력서를 폐기하지 않고 다른 방향으로 활용해 보기로 했다. 그동안 북한이 암호화폐 기업을 해킹해 수십억 달러를 탈취해 간 침투 전략을 스티븐 스미스를 통해 알아보자는 계획을 세웠다. 결심을 굳힌 뒤 스티븐 스미스에게 면접 일정 등을 알렸다. 미국 경제전문지 포춘은 3일(현지시간) 크라켄이 이력서를 제출한 북한 요원 '스티븐 스미스'를 채용하는 과정을 소개하며 북한이 암호화폐 회사의 안보를 위협하고 있다는 내용을 보도했다. 핼러윈 데이를 물어봤다 퍼코코는 "스티븐 스미스를 면밀히 살펴보기로 했다"면서 "그를 통해 북한이 어떻게 암호화폐 기업들로부터 수십억 달러를 훔쳐가는지 알아보는 동시에 크라켄에서 그런 일이 발생하지 않도록 어떻게 방지할 수 있을지 점검해 보기로 했다"고 전했다. 안내에 따라 스티븐 스미스는 채용 담당자와 상담하고 기술 테스트를 가졌다. 이후 임원과 영상 면접에 나서게 됐다. 말은 면접이지만, 실상은 스티븐 스미스가 북한 해커라는 걸 확인하는 자리였다. 퍼코코는 "스티븐 스미스에게 문화적 배경을 알아가는 면접이 될 거라고 얘기했다"며 "면접에 임한 건 스티븐 스미스의 진짜 실수였다. 그는 우리가 던진 질문에 제대로 대답하지 못했다"고 말했다. 때마침 인터뷰는 미국의 전통적인 명절인 핼러윈 데이에 진행됐다. 하지만 뉴욕대 출신이라는 스티브 스미스는 이날을 모르는 듯 했다. 퍼코코는 "오늘 밤 조심하라"며 "전기톱 든 아이들이 초인종을 누를지 모른다. 그런 아이들이 나타나면 당신은 어떻게 하나"라고 떠보듯 물었다. 핼러윈 데이에 아이들이 분장하고 이웃집에 사탕이나 과자 등을 받아오는 전통 놀이인 '트릭 오어 트릿(trick or treat)'을 염두에 둔 질문이었다. 예상대로 핼러윈 데이를 모르는 듯 스티븐 스미스는 어깨를 으쓱하더니 "특별한 건 없다"고 말했다. 2년 동안 살았다는 휴스턴 지역에 대한 질문에도 답하지 못했다. 이력서에 '음식'을 관심사로 적었음에도 "휴스턴 지역에서 가장 좋아하는 식당이 어디냐"를 묻자 답을 하지 못했다. 또 다시 주변을 둘러보더니 "특별한 건 없다"고 중얼거리듯 말했다. 이어 신분증을 제시해 달라는 요청에 스티븐 스미스는 자신의 이름과 사진이 적힌 운전면허증 사진을 보여주기도 했다. 신분증에 적힌 주소는 휴스턴에서 300마일(약 480㎞) 이상 떨어진 곳이었다. 스티븐 스미스의 '구직' 경고 스티븐 스미스의 구직 신청은 북한과 연루된 것으로 추정되는 수천 명의 IT 종사자들이 원격 근무 형식을 활용해 미국 기업들에 접근하면서 이들 기업에 위협이 되고 있음을 보여주는 사례라고 포춘은 설명했다. 이들은 기업에 접근해 내부 자금을 횡령하는 방식으로 북한의 대량살상무기 프로그램에 자금을 지원했다고도 전했다. 이 과정에서 크라켄과 달리 일부 기업들은 피해를 입기도 했다. 유엔은 북한의 스파이가 해외 기업을 속여 매년 2억5000만 달러(약 3506억2500만원)에서 6억 달러(약 8415억원) 사이의 돈을 벌어들인 것으로 추산했다. 사이버 보안 회사 크라우드스트라이크는 '페이머스 천리마(Famous Chollima)'로 알려진 북한 해커 조직이 지난해 304건의 개별 사건을 일으켰다고 보고하면서 이같은 공격 횟수는 올해도 꾸준히 증가할 것으로 예측했다. 특히 암호화폐 기업이 북한 스파이의 공격에 취약했다. 북한 정찰총국의 해커 부대인 라자루스 그룹은 지난 2월 암호화폐 거래소 바이비트를 해킹해 사상 최대 규모인 15억 달러를 훔쳤다. 앞서 2022년엔 로닌 네트워크 블록체인에서 5억4000만 달러를 탈취했다. 퍼코코는 "스티븐 스미스의 의도가 정확히 무엇인지는 모르지만, 북한의 해커가 어느 시점에 우리 자금을 훔치려 했을 것으로 추정하고 있다"며 "그들은 우리 회사 장비를 훔치고 내부 시스템에 접근했을 수 있고 후에는 돈을 훔쳤을 가능성이 높다"고 말했다. y27k@fnnews.com 서윤경 기자
2025-05-04 23:39:08[파이낸셜뉴스] 북한이 혈맹국가인 중국의 군사기술을 탈취하려다 적발된 것으로 전해졌다. 북한은 일명 '키보드 전사'로 불리는 해킹부대를 대거 양성해 전세계의 군사, 금융시스템에 침투해왔다. 하지만 동맹국인 중국까지 해킹을 시도하면서 북중관계에 갈등 조짐을 보이고 있다. 29일 대북 소식통에 따르면 북한 노동당 군수공업부 산하 조직이 중국 선양으로 파견한 IT 기술자 A가 지난달 노트북 PC를 소지한 채 현지 숙소를 이탈해 잠적했다가 중국 공안에 체포·구금되는 사건이 벌어졌다. 중국 공안의 수사 과정에서 A의 노트북에서 중국 무기 등 군수 기술을 해킹한 정보가 쏟아진 것으로 전해졌다. 공안의 추궁에 A는 중국 군사기술 정보 탈취행위를 자백한 것으로 알려졌다. A가 검거된 사실을 인지한 북한은 같은 장소에서 활동한 IT 인력 전원을 긴급하게 북한으로 복귀시킨 것으로 전해졌다. A를 중국에 파견한 군수공업부는 노동당의 군수공업 정책을 집행하는 기관으로, 핵·미사일 개발 프로그램 등 주요 국방사업 전반을 담당한다. 유엔 안전보장이사회의 제재 대상이다. 북한 정찰총국 및 국방성과 마찬가지로 온라인에서 외화벌이나 방산 기술을 탈취하는 IT 인력 조직을 운영하는 것으로 한미 당국의 수사에서 여러 차례 확인됐다. 한국 외교부가 작년 말 제재 대상으로 지정한 '313총국'도 군수공업부 산하 기관이다. 북한은 최근 러시아·우크라이나 전쟁 경험을 활용해 소형 무인기 개발과 무인기 운영체계 확보에 힘을 쏟고 있다. 북한 연계 해킹 조직이 한국을 비롯한 세계 각국의 군수 기관·기업을 상대로 정보 탈취를 시도하는 것은 여러 차례 확인됐다. 러시아도 북한의 단골 타깃이었지만 혈맹인 중국을 상대로 정보를 취득하려다 적발된 것은 이례적이다. 최근 주요 북한은 한국뿐만 아니라 전세계 주요국에 대한 해킹을 일삼고 있다. 지난 2024년 말~2025년 초, '방첩사 비상계엄 문건' 등 제목으로 악성코드가 담긴 해킹 메일이 대량 배포된 바 있다. 언론사·공공기관을 사칭해 30여 종의 피싱 메일을 만들어 개인정보를 탈취하려 했으며, 발신지 IP 추적 결과 중국 요녕성과 북한 접경 지역에서 발송된 것으로 확인됐다. 또한 올해 2월, 세계 최대 가상자산 거래소 중 하나인 바이비트에서 약 15억 달러(약 2조 원) 상당의 이더리움 토큰이 탈취됐다. 북한의 해킹조직 '라자루스 그룹'이 공급망 공격 등으로 콜드월렛을 손상시켜 자산을 빼돌린 것으로 의심을 받고 있다. 도난 자금은 탈중앙화 금융(디파이)과 크로스체인 브릿지, THOR체인 등으로 신속하게 세탁된 것으로 전해졌다. FBI 등 국제 수사기관은 북한 해커들이 가상자산 해킹을 통해 연간 수조 원을 탈취했고 이 자금이 미사일 등 군사 프로그램 개발에 활용된다고 보고 있다. rainman@fnnews.com 김경수 기자
2025-04-29 09:20:22[파이낸셜뉴스]북한 등의 자금세탁을 도왔다는 혐의로 제재됐다가 해제된 토네이도 캐시가 폭등세를 이어가고 있다. 24일 오전 7시 현재 토네이도 캐시는 암호화폐 시황 중계사이트인 코인마켓캡에서 24시간 전보다 15.42% 폭등한 13.77달러를 기록했다. 미국 재무부가 제재를 해제한 지난 21일(현지시간) 토네이도 캐시는 75% 폭등했었다. 미국 재무부는 지난 21일 바이든 행정부가 북한 및 기타 사이버 해커들을 위해 70억 달러 이상의 자금 세탁을 도왔다며 제제를 취한 ‘토네이도 캐시’에 대한 제재를 해제했다. 미국 재무부 해외자산통제국은 지난 2022년 토네이도 캐시가 북한 정부의 지원을 받는 해킹 그룹 라자루스가 훔친 4억5500만 달러 이상을 포함한 사이버 범죄 수익의 세탁을 돕고 있다며 ‘블랙리스트’에 올렸었다. 토네이도 캐시는 거래를 익명화해 주는 암호화폐(가상화폐) ‘믹서’다. 그러나 미국 재무부는 이날 성명을 내고 "진화하는 기술과 법적 환경을 고려해 제재를 폐지하기로 했다"고 밝혔다. 이는 트럼프 행정부가 친 암호화폐 정책을 추진하고 있기 때문으로 풀이된다. 재무부는 그러면서도 이번 해제에도 북한의 암호화폐 세탁에 대한 경계는 늦추지 않겠다고 강조했다. june@fnnews.com 이석우 기자
2025-03-24 07:40:12[파이낸셜뉴스]"북한이 보유하고 있는 비트코인이 일론 머스크 테슬라 최고경영자(CEO)의 보유량보다 많다." 암호화폐(가상화폐) 전문매체 코인데스크가 23일(현지시간) 암호화폐 정보 업체 아캄 인텔리전스의 자료를 인용해 북한과 밀접한 관련이 있는 해킹 그룹 라자루스는 이날 현재 11억4000만달러(약 1조6700억원) 상당인 1만3441개 비트코인을 보유하고 있다고 전했다. 테슬라는 1만1509개의 비트코인은 보유하고 있다. 북한이 테슬라보다 약 16% 더 많은 비트코인은 가지고 있다는 것이다. 테슬라는 상장회사로서는 세계에서 4번째로 많은 비트코인을 보유하고 있다. 북한은 거래소를 터는 방법으로 비트코인을 축적해 왔다. 지난달 라자루스 그룹은 암호화폐 거래소 바이비트를 공격해 14억 달러의 이더리움을 훔쳤고, 이 중 일부를 비트코인으로 바꿨다. 미국 정부는 160억달러(약 23조) 이상의 가치가 있는 19만8109의 비트코인을 보유하고 있다. 이는 돈세탁 혐의 등으로 압수된 것들이다. 트럼프는 이를 기반으로 암호화폐 전략 준비금을 추진하고 있다. 시장에서는 미국을 명실상부한 비트코인 초강대국이자 세계 암호화폐 수도로 만들겠다는 약속을 재확인한 도널드 트럼프 미국 대통령이 북한 해커들은 어떻게 처리할지주목하고 있다. june@fnnews.com 이석우 기자
2025-03-24 07:00:12[파이낸셜뉴스] 지난 2년 간 한국에서 사이버 추적이나 표적 활동의 영향을 가장 많이 받은 산업군은 제조업인 것으로 나타났다. 특히 자금 조달을 위해 북한 해킹조직이 암호화폐와 블록체인 플랫폼 강탈에 집중하고 있는 것으로 조사됐다. 루크 맥나마라 구글 위협인텔리전스그룹 부수석 애널리스트는 19일 서울 강남구 강남파이낸스센터에서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 최근 사이버 공격 동향에 대한 구글 클라우드의 조사 결과를 공유했다. 맥나마라 애널리스트는 "사이버 공격자의 표적 범위가 갈수록 확대되고 위협에 사용되는 기술 또한 계속 늘어나고 있따다. 특히 오늘날 위협 행위자들은 탐지를 회피하는 데 집중하며 기존의 보안 탐지 가시성에서 벗어나 침입을 감행하기 위한 다양한 경로를 모색 중"이라고 밝혔다. 구글 클라우드가 보안 자회사 맨디언트 자료를 인용해 공개한 전 세계 2024년 4분기 클라우드 침해 동향을 보면, 데이터 탈취/갈취, 사기 행위는 각각 37%에 달했다. 피싱 이메일 배포와 랜섬웨어는 각각 5%를 차지했다. 지난해 4분기 맨디언트가 대응한 사고 중 초기 침해 경로가 확인된 약 43%는 피싱 수법을 통해 인증 정보가 유출된 경우였다. 특히 랜섬웨어 및 데이터 갈취 행위와 관련된 데이터 유출 사이트(DLS) 피해 추정 건수는 지속적으로 늘고 있었다. 맨디언트가 2020년 DLS를 추적하기 시작한 이후 지난해가 가장 많은 피해 건수가 발견됐다고 구글 클라우드는 전했다. 글로벌 사이버 범죄에서 가장 주목할 국가는 중국과 북한이다. 중국의 사이버 첩보 활동은 더욱 은밀하고 정교해지고 있으며, 북한은 정권 수익 창출의 주요 통로가 되고 있다고 맥나마라 애널리스트는 전했다. 그는 "과거 광범위한 시스템을 대상으로 대규모 공격을 펼쳤다면 지금 중국 해킹 그룹은 특정한 목표를 겨냥해 보안 시스템에 걸리지 않도록 흔적을 최소화해 보다 정밀하고 은밀하게 공격한다"고 말했다. 북한의 경우 "북한 해킹조직은 암호화폐 기업과 거래소 입장에서 가장 주목해야 할 공격자"라고 지목하며, "미사일 개발 프로그램과 핵 야망, 정권 운영 비용에 대한 자금을 직접 조달하는 동시에 국제 사회의 제재를 피하기 위해 암호화폐 분야와 블록체인 플랫폼 강탈에 집중하고 있다"고 지적했다. 실제로 북한 해킹조직 '라자루스'는 지난 2월 암호화폐 거래소 바이비트를 해킹해 약 14억6000만달러(약 2조1000억원) 규모의 암호화폐를 해킹한 바 있다. 북한 연계 해킹 그룹의 특이점으로는 북한 국적을 숨기고 IT 등 다양한 산업 분야 기업에 고용되어 있는 점이라고도 했다. 맥나마라 애널리스트는 “최근 몇 년 동안 한국에서 가장 많은 사이버 공격의 타깃이 된 산업은 제조업이고, 금융과 미디어, 엔터테인먼트 산업 순"이라며 "북한과 연관된 것으로 알려진 해킹그룹인 APT 45, 라자루스가 한국 내 제조업, 자동차 산업, 방산업체와 반도체 산업을 겨냥하고 있는 것으로 판단하고 있다”라고 전했다. 해킹 활동에 '제미나이'와 같은 생성형AI를 활용하고 있는 것으로 조사됐지만, 아직은 새로운 공격 방식으로 적용된 것은 아닌 것으로 분석됐다. 맥나마라 애널리스트는 "구글의 제미나이가 공격자에 의해 어떻게 활용되는지 조사한 결과, 제미나이로 문제 해결 스트립팅을 수행하고 효율성을 높이는데 활용하고 있다"면서 "다만 현재로서는 제미나이를 생산성 향상을 위한 도구로 사용하는 수준에 그친 것으로 새로운 공격 기법/기능을 개발하진 못한 것으로 보인다"고 덧붙였다. yjjoe@fnnews.com 조윤주 기자
2025-03-19 15:14:11[파이낸셜뉴스] 암호화폐 거래소 바이비트가 15억달러(약 2조1530억원)의 피해를 입힌 북한 해킹 조직 라자루스를 범죄의 배후로 지목하고 자금 추적에 나섰다. 26일(현지시간) 미국의소리(VOA) 방송은 바이비트가 지난 21일 해킹 공격으로 사상 최대인 15억달러 상당의 암호화폐를 탈취한 라자루스에 전쟁을 선포하고 이를 위해 현상금을 내걸었다고 보도했다. 벤 저우 바이비트 최고경영자(CEO)는 지난 25일 소셜미디어 엑스(X)에 “라자루스와의 전쟁에 동참해달라”는 제목의 글을 올리면서 라자루스에 의해 탈취된 자금을 추적하기 위한 현상금 사이트 ‘라자루스 바운티(Lazarus Bounty)’를 개설했다고 밝혔다. 해커들은 당시 바이비트의 이더리움 가상 지갑을 표적으로 삼아 범행을 저질렀으며, 거래 화면을 조작해 정상적인 송금처럼 보이도록 만든 뒤 내부 규칙을 변경해 자금을 빼돌린 것으로 전해졌다. 이는 역대 최대 규모의 암호화폐 해킹 사건으로 기록됐으며, 사건 직후 암호화폐 가격이 급락하는 등 큰 파장이 이어졌다. 저우 CEO는 라자루스 바운티 사이트가 국제사회의 사이버 제재 대상인 라자루스의 암호화폐 거래를 추적하고 제재 이행을 지원하기 위해 만들어진 업계 최초의 플랫폼이라고 설명했다. 저우는 사용자가 자신의 암호화폐 지갑을 플랫폼에 연동해 라자루스 관련 자금 이동을 추적할 수 있도록 했으며, 신고한 정보가 실제 자금 동결로 이어질 경우 즉시 총 현상금의 5%를 지급받도록 했다. 26일 현재 웹사이트에서는 라자루스 그룹과 연관된 6338개의 지갑 주소를 추적하고 있으며, 해킹된 자금 중 약 3%에 해당하는 4230만달러는 이미 동결된 상태라고 VOA는 전했다. 저우 CEO는 그러면서 “웹사이트를 유지·관리할 전담팀을 배정했으며, 라자루스와 업계 내 악의적 행위자들이 완전히 제거될 때까지 멈추지 않을 것”이라며 추적에 대한 의지를 보였다. jjyoon@fnnews.com 윤재준 기자
2025-02-27 09:32:19[파이낸셜뉴스] 지난 5월 말 일본의 암호화폐 거래소인 DMM 비트코인(DMM Bitcoin)이 해킹 공격으로 약 3억8000천만달러(약 4800억원) 규모의 4500백 비트코인(BTC)이 탈취 당한 사건이 북한 해커 집단에 의한 것으로 26일 알려졌다. 이날 자유아시아방송(RFA)에 따르면 미국 연방수사국(FBI)은 지난 23일(현지시간) 미 국방부 사이버범죄센터(DC3), 일본 경찰청과 협력해 이 같은 내용을 밝혀내고 대중에게 경고문을 발표했다. FBI와 일본 경찰청은 이번 조사 결과 북한 정부와 연계된 해커 그룹 트레이더 트레이터(Trader Traitor)를 지목했다. 이 그룹은 ‘라자루스(Lazarus)’, ‘UNC4899’, ‘슬로우 피시스(Slow Pisces)’ 등의 이름으로도 알려져 있다. 이들의 조사에 따르면 북한 해커는 암호화폐를 탈취하기 위해 ‘사회공학기법(Social Engineering)’을 사용했다. 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 방식을 ‘사회공학기법’이라고 알려졌다. 지난 3월 말, 북한 해커는 링크드인(세계 최대의 비즈니스, 고용 중심의 소셜 미디어 플랫폼)에서 채용 담당자로 가장하고 일본 암호화폐 지갑 소프트웨어 회사 '긴코(Ginco)'의 직원에게 접근해 “코드 검토”를 명목으로 악성 코드를 전달했다. 긴코 시스템을 해킹하기 위한 사전 작업이었다. 이 직원은 해당 악성 코드를 개인 소스코드 공유 사이트인 ‘깃허브(GitHub)’ 페이지에 적용했으며, 이로 인해 긴코 시스템이 감염돼 손상됐다. 그러다 지난 5월 중순 이후 북한 해커들은 손상된 시스템을 악용해 긴코의 시스템에 접근, 자금을 탈취해 최종적으로 자신들의 조직이 관리하는 암호화폐지갑으로 송금됐다. FBI와 일본 경찰청은 입장문에서 “미국 정부 및 국제 파트너들은 북한이 사이버 범죄와 암호화폐 절도를 포함한 불법 활동을 통해 정권의 수익을 창출하고 있음을 계속 폭로하고 이를 차단하겠다”고 밝혔다. 하지만 DMM 비트코인은 사건 직후 계좌 등록, 암호화폐 출금, 거래 기능을 모두 중단하며 조사 진행과 복구 노력에도 불구하고 회사는 재정적 손실과 신뢰도 하락으로 인해 정상 운영이 불가능하다고 판단, 올해 12월 폐업을 선언했다. 고객 보호를 위해 고객 계좌와 자산은 타사로 이관됐다. 한편, 암호화폐 등 가상자산을 전문적으로 분석하는 미국 민간기업 ‘체인널리시스’(Chainalysis)가 19일 발표한 ‘2025 가상자산 범죄 보고서’에 따르면 북한 해커들이 탈취한 암호화폐 액수는 2023년 6억6050만달러에서 2024년 13억4000만달러(약 1조9600억원)로 2배 이상 증가했다. 북한 정부와 연계된 해커 그룹들이 가상화폐 해킹을 통해 탈취된 자금은 사실상 대부분 북한의 핵무기 고도화나 탄도미사일 프로그램 개발에 전용되고 있다는 점에서 점점 더 심각한 국제적 위협으로 부상하고 있다. wangjylee@fnnews.com 이종윤 기자
2024-12-26 10:21:00#. 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 "가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다"면서 "향후에도 예방과 회복에 최선을 다할 것"이라고 말했다. unsaid@fnnews.com 강명연 기자
2024-11-21 17:59:26[파이낸셜뉴스] 2019년 11월 27일 오후 1시 6분 국내 가상자산 거래소 업비트의 이더리움 핫월렛(네트워크에 연결된 가상화폐 지갑)에서 이더리움(ETH) 34만2000개가 알 수 없는 지갑으로 순식간에 빠져나갔다. 업비트는 핫월렛에 있는 모은 가상자산을 콜드월렛(네트워크에 연결되지 않은 지갑)에 부랴부랴 이전했지만 이미 때는 늦었다. 유출된 이더리움은 당시 시가로 580억원에 달했다. 현 시세로 따지면 1조4700억원어치로 계산된다. 업비트는 국내 최대 가상자산거래소로 인식됐기 때문에 충격은 더 컸다. "업비트까지..."라는 우려까지 나왔다. 업비트는 외부 해커들의 소행으로 잠정 판단하고 경찰에 수사를 의뢰할 뿐 대응할 방법이 마땅치 않았다. 그러나 경찰청이 미국 연방수사국(FBI)과 공조를 통해 5년 동안 끈질긴 수사한 끝에 "북한 소행"이라는 결론을 냈다. 북한이 가상자산 거래소에서 탈취한 가상자산을 핵·미사일 개발에 사용한다는 유엔의 보고서, 외국 정부의 발표 등은 여러 차례 있었으나, 국내 확인 사례는 처음이다. 경찰청은 21일 브리핑을 열고 "북한의 아이피(IP) 주소와 가상자산의 흐름, 북한 어휘 사용 내용 등을 종합해 내린 판단"이라며 이같이 설명했다. 경찰에 따르면 북한은 정찰총국 산하 해킹그룹 라자루스, 안다리엘 두 곳을 통해 업비트 서버에 APT(지능적 지속 위협) 공격을 벌였다. '헐한 일'이라는 어휘가 사용된 점도 공격자를 북한으로 특정한 근거다. 경찰은 공격자가 사용한 컴퓨터에서 이런 흔적을 발견했다. '헐한 일'은 '중요하지 않은 일'이라는 의미다. 탈취된 가상자산의 57%는 공격자가 만든 것으로 추정되는 가상자산 교환사이트 3개를 통해 시세보다 2.5% 할인된 가격에 비트코인으로 바뀌고, 나머지는 해외 51개 거래소로 분산 전송 후 세탁됐다. 가상자산 세탁에는 가상화폐를 누가 전송했는지 알 수 없도록 분산시키는 과정을 반복하는 '믹싱'이 사용됐다. 자금 사용처와 현금화 추적을 어렵게 만들기 위해 제3자를 두고 거래하는 방식이 대표적이다. 탈취된 자산 중 일부인 4.8비트코인(현 시세 6억원)은 지난달 업비트에 돌아갔다. 교환된 비트코인 중 일부가 스위스 가상자산 거래소에 보관됐다는 사실을 스위스 경찰이 2020년 11월 업비트에게 알렸다. 이후 경찰은 스위스 검찰에 한국의 거래소에서 탈취당한 자산의 일부라는 점을 증명해 이를 환수했다. 화상·전화회의와 스위스 연방검찰청 방문 등 4년 가까이 공조를 벌였다. 사건 당시 업비트는 글로벌 가상자산 거래소 바이낸스 등으로부터 협력 의사를 받아냈지만, 북한은 '세탁'에서 이런 대형 거래소는 회피한 것으로 알려졌다. 경찰 관계자는 “가상자산 거래소에 공격 수법은 국정원 국가사이버위기관리단, 금융감독원, 금융보안원, 한국인터넷진흥원, 군 및 가상자산 거래소 관계자들에게 공유했고, 향후 이와 유사한 범행을 탐지하거나 피해를 예방하는 데 활용토록 했다”면서 “향후에도 예방과 회복에 최선을 다할 것”이라고 말했다. unsaid@fnnews.com 강명연 기자
2024-11-21 09:31:14