​北, 지난해 가상자산 4억 달러 탈취...ETH, BTC로 교환해 출처 세탁도

[사진=게티이미지뱅크]

지난해 북한 해커가 가상자산거래소, 디파이(가상자산 기반 대출 상품) 플랫폼 등을 공격해 거둬들인 수익이 4억 달러(약 4770억원)에 이르는 것으로 나타났다.

블록체인 데이터분석 플랫폼 체이널리시스가 발표한 2022 암호화 범죄 보고서에 따르면 북한 해커는 지난해 최소 7건의 공격을 시도했으며, 피싱, 원격코드 실행, 악성코드 설치, 사회공학적 해킹 등 사용자를 직접 노렸다. 이를 통해 사용자 가상자산 지갑에 있는 비트코인, 이더리움 등의 자산을 탈취하고, 북한이 보유한 지갑으로 옮긴 뒤 현금화했다는 설명이다.

가상자산 특성상 거래소나 블록체인 네트워크를 직접 노리기 어렵다. 때문에 사용자를 속인 사칭 이메일이나 사용자 PC 등에 설치한 악성코드로 로그인이나 인증 정보를 알아내고, 직접 지갑에 접근하는 방식을 사용한 것으로 보인다.

체이널리시스는 보고서에서 공격은 라자루스그룹이 수행했을 가능성이 높다고 밝혔다. 라자루스그룹은 2007년 창설된 북한 정찰총국 산하 해킹 조직으로, 과거 소니픽처스 해킹이나 워너크라이 랜섬웨어 등으로 악명이 높다.

이들은 지난 2018년부터 가상자산을 탈취 및 세탁했으며, 가상자산거래소 쿠코인(KuCoin)에 대한 단일 공격으로 2억5000만 달러 이상의 수익을 냈다고 설명했다. 유엔 안전보장이사회에 따르면 여기서 발생한 수익이 대량살상무기나 탄도미사일 프로그램을 지원하는 데 쓰인다.

공격 건수도 늘었다. 2020년 가상자산에 대한 북한의 공격 행위는 4건이었으나, 2021년 7건으로 증가했다. 가장 선호하는 형태는 이더리움으로, 전체 탈취 자산 중 58%가 이더리움인 것으로 나타났다. 이 밖에 이더리움 기반 대체코인(알트코인)이 22%를 차지했다.

탈취하는 가상자산 형태가 다양해지면서 세탁 방식 역시 더 복잡해졌다. 우선 ERC-20(이더리움 기반 네트워크) 기반 대체코인은 탈중앙화 거래소를 통해 이더리움으로 교환한다. 여러 대체코인이 이더리움으로 통합되는 것. 이렇게 모은 이더리움은 다시 거래소에서 비트코인으로 바꿔 새로운 지갑으로 전송하고, 비트코인을 현금화할 수 있는 거래소에서 이를 인출한다. 여러 단계의 세탁 과정을 거치면서 통합된 비트코인의 출처가 어디인지 알 수 없게 만들고, 실제 통용되는 화폐로 만드는 식이다.

체이널리시스는 북한이 암호화폐 산업에 대한 지속적이고 고도화된 위협이라고 설명했다. 그럼에도 불구하고 블록체인의 특징 중 하나인 투명성을 이용하면 범죄 수사관이나 해킹 피해자가 자금의 이동을 추적하고, 자산을 동결·압류하는 등 범죄 책임을 물을 수 있다고 밝혔다.