Your browser does not support JavaScript!

북한 해커, 진화하는 가상화폐 공격

일반 리포트 2024년 12월 06일
goover

목차

  1. 요약
  2. 북한 해커 조직 및 공격 현황
  3. 가상화폐 탈취 및 자금 세탁 패턴
  4. 가상화폐 종류 및 비율 분석
  5. 미국 정부의 제재 및 대응
  6. 결론

1. 요약

  • 이 리포트는 북한의 해커 조직인 라자루스 그룹이 가상화폐를 대상으로 한 공격과 자금 세탁 방법에 대한 심층 분석을 제공합니다. 최근 데이터에 따르면, 라자루스 그룹의 공격 빈도와 규모가 꾸준히 증가하고 있으며, 이들의 해킹 기법은 프라이빗 키 탈취와 소셜 엔지니어링과 같은 고도화된 방식으로 발전하고 있습니다. 클로인트의 분석에 따르면, 이 그룹은 주로 DAI, USDC, WBTC 등 여러 가상화폐를 활용하여 자금을 세탁하고 있으며, 특히 크로스체인 브릿지와 믹서를 사용하여 자금의 출처를 은폐하려 하고 있습니다. 이러한 북한 해커의 활동은 전 세계 가상자산 시장의 안정성을 심각하게 위협하고 있습니다.

2. 북한 해커 조직 및 공격 현황

  • 2-1. 라자루스 그룹의 개요

  • 라자루스 그룹(Lazarus Group)은 북한 해커 조직으로, 최근 가상화폐 공격과 탈취 활동이 급증하고 있는 것으로 알려져 있습니다. 클로인트의 보고서에 따르면, 2022년부터 2024년 6월 17일까지 발생한 944건의 해킹 사건 중 244건은 규모가 100만 달러(약 13억원) 이상이거나 북한과의 연관성이 확인된 주요 사건으로, 이들 사건의 수가 해마다 증가하고 있음을 나타냅니다.

  • 2-2. 가상화폐 공격 빈도 및 규모

  • 북한 해커의 가상화폐 공격 빈도와 규모는 지난해 대비 지속적으로 증가하고 있어, 전체 해킹 사건 중 북한 해킹 건수는 약 4.7%에 불과하지만, 피해 금액은 전체의 약 34%를 차지하고 있습니다. 보고서에서는 실제 북한과 관련된 해킹 사건이 전체 사건의 50%를 초과할 것으로 추정하고 있습니다.

  • 2-3. 해킹 수법의 고도화

  • 라자루스 그룹의 해킹 수법은 점차 고도화되고 있으며, 주요 공격 방식으로 프라이빗 키 탈취와 소셜 엔지니어링 공격이 확인되었습니다. 이러한 방식은 전체 공격 기법 중 63%를 차지하고 있으며, 자금 세탁 기법 또한 더욱 정교해지고 있습니다. 최근에는 주로 크로스체인 브릿지와 믹서를 활용하여 자금을 세탁하고 있으며, 레일건 믹서와 동남아시아 지역의 환전 서비스 등 새로운 자금세탁 루트를 모색하고 있는 것으로 파악됩니다.

3. 가상화폐 탈취 및 자금 세탁 패턴

  • 3-1. 주요 공격 방법 및 사례

  • 북한 해커 조직 라자루스 그룹은 가상화폐 탈취를 위해 다양한 공격 기법을 사용하고 있으며, 이들 중 프라이빗 키 탈취와 소셜 엔지니어링 공격이 주요 공격 방법으로 확인되었습니다. 이 두 가지 방법은 전체 공격 기법의 63%를 차지하고 있습니다. 클로인트의 보고서에 따르면 2022년부터 2024년 6월 17일까지 발생한 944건의 해킹 사건 중, 100만 달러 이상 또는 북한과의 연관성이 확인된 244건의 주요 사건들이 조사되었습니다. 또한, 라자루스 그룹의 다양한 공격 패턴은 총 7가지로 분류되며 각각의 공격 특징이 상세히 설명되고 있습니다.

  • 3-2. 자금 이동 경로 분석

  • 라자루스 그룹은 탈취한 자금을 세탁하기 위해 주로 토르체인(Thorchain)과 같은 크로스체인 브릿지와 믹서를 활용하고 있습니다. 특히, 2023년 6월 4일부터 이틀간 라자루스 탈취자금 중 약 180만 달러가 토르체인을 통해 캄보디아 소재 후이원 그룹의 금융 자회사로 이동한 사실이 확인되었습니다. 이 후이원 그룹은 최근 대규모 가상자산 사기와 자금세탁의 중심지로 주목받고 있으며, 자금 세탁 기법으로는 '돼지 도살 사기(Pig Butchering)'를 이용하고 있습니다.

  • 3-3. 자금 세탁 기법 및 수단

  • 라자루스 그룹은 자금 출처를 감추기 위해 여러 가지 자금 세탁 기법을 사용하고 있습니다. 특히, 최근 들어 레일건 믹서와 동남아시아 지역의 환전 서비스 이용이 증가하고 있으며, 이는 미국 정부의 제재가 강화됨에 따라 새로운 자금 세탁 루트를 확보하기 위한 노력의 일환으로 나타났습니다. 클로인트의 보고서에 따르면 북한 해커들이 주로 사용하는 가상화폐로는 DAI, USDC, USDT, WBTC, WETH가 있으며, 이들의 자금 이동량 비율이 구축해 분석되었습니다. 예를 들어, 북한 관련 사건에서 USDC의 비율이 11.3%, WBTC의 비율이 7.4% 높게 관찰되었습니다.

4. 가상화폐 종류 및 비율 분석

  • 4-1. 주요 사용 가상화폐 목록

  • 북한 해커 조직인 라자루스 그룹은 여러 가지 가상화폐를 사용하고 있으며, 특히 DAI, USDC, USDT, WBTC, WETH와 같은 가상화폐를 주로 활용하고 있습니다.

  • 4-2. 가상화폐 사용 비율 비교

  • 2022년부터 2024년 6월 17일까지의 데이터를 분석한 결과, 전체 사건 중 북한 관련 사건에서 USDC의 사용 비율은 11.3% 높게 관찰되었으며, WBTC의 비율은 7.4% 증가한 것으로 나타났습니다.

  • 4-3. 북한 관련 사건의 가상화폐 비율

  • 라자루스 그룹의 가상화폐 탈취 사건에서 확인된 가상화폐 사용 비율은 상대적으로 낮지만, 피해 금액은 전체의 약 34%를 차지하고 있는 점이 주목됩니다. 북한 관련 해킹 건수는 전체 해킹 사건 중 약 4.7%에 해당하지만, 실제 비중은 확인되지 않은 사건들을 고려할 때 50%를 초과할 것으로 추정됩니다.

5. 미국 정부의 제재 및 대응

  • 5-1. 제재 내용 및 영향

  • 2023년 11월, 미국 재무부는 북한의 사이버 활동 관련 신규 제재를 발표하며 ‘신바드’ 사이트를 재무부 해외자산통제국의 특별지정 제재대상 리스트에 추가하였습니다. 신바드 믹서 서비스는 주로 자금 세탁에 사용되었으나, 자금 세탁 루트가 차단되면서 라자루스 그룹은 새로운 자금 세탁 경로를 모색하고 있는 상황입니다.

  • 5-2. 새로운 자금 세탁 루트 탐색

  • 가상자산 추적분석 전문기업 클로인트는 북한 해커 부대인 라자루스 그룹이 탈취한 가상자산을 캄보디아의 후이원 그룹의 금융 자회사로 이동시켜 자금 세탁을 진행하고 있다고 밝혔습니다. 매년 전 세계에서 발생하는 가상자산 해킹 사고의 절반 이상이 북한 해커 조직에 의한 것으로 확인되고 있으며, 라자루스는 2007년 창설된 북한 정찰총국 소속의 해커 조직입니다. 클로인트의 CRC(크립토 리서치 센터)는 라자루스와 관련된 주요 해킹 사고의 자금 세탁 경로를 추적하고, 라자루스의 탈취 자금 중 약 180만 달러가 2023년 6월 4일부터 이틀간 토르체인 네트워크를 통해 움직였음을 확인하였습니다.

  • 5-3. 라자루스 그룹의 대응 전략

  • 라자루스 그룹은 다양한 공격 패턴을 사용하여 가상자산을 탈취하고 있으며, 이를 세탁하는 기법도 지속적으로 발전시키고 있습니다. 이들은 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목받고 있는 후이원 마켓플레이스를 이용하여 자금을 세탁하고 있으며, 특히 ‘돼지 도살 사기(Pig Butchering)’ 기법을 활용하고 있습니다. 이러한 기법은 텔레그램 기반의 메시징 채널을 통해 이루어지며, 주요 결제 수단으로 암호화폐인 USDT 스테이블 코인이 사용되고 있습니다.

결론

  • 리포트는 라자루스 그룹이 가상화폐 시장에 미친 영향을 분석하며, 이들의 발전된 해킹 수법과 자금 세탁 기법을 강조합니다. 라자루스 그룹은 다양한 공격 패턴을 통해 엄청난 양의 가상화폐를 탈취하고 있으며, 자금을 세탁하기 위해 새로운 루트를 적극적으로 탐구하고 있습니다. 이러한 활동은 국제 사회의 안보를 위협하며, 클로인트와 같은 가상자산 분석 기업의 지속적인 모니터링이 반드시 필요합니다. 미국 정부의 제재에도 불구하고, 해당 조직은 새로운 세탁 경로를 통해 제재를 회피하려고 시도하고 있습니다. 따라서, 향후 이러한 위협을 예방하기 위해 각국의 협조와 기술적 보안 강화가 필수적입니다. 가상자산 시장의 안전을 보장하기 위해 지금부터 적극적인 대응과 연구가 필요하며, 클로인트의 분석 결과는 그 방향 설정에 중요한 역할을 할 것입니다.

용어집

  • 라자루스 그룹 [해커 조직]: 라자루스 그룹은 북한 정찰총국 소속의 해커 조직으로, 가상화폐 해킹 및 자금 세탁에 관련된 주요 사건의 주범으로 알려져 있습니다. 이 그룹은 전 세계의 주요 가상자산 거래소와 디파이 서비스에 대한 공격을 감행하며, 매년 발생하는 가상자산 해킹 사건의 상당 부분이 이들의 소행으로 확인되고 있습니다.
  • 클로인트 [가상자산 분석 기업]: 클로인트는 가상자산 추적 및 분석 전문 기업으로, 북한 해커의 가상화폐 공격에 대한 조사 및 분석을 통해 관련 데이터를 제공하고 있습니다. 이들의 보고서는 라자루스 그룹의 해킹 수법과 자금 세탁 경로에 대한 중요한 통찰을 제공합니다.

출처 문서