 대체 어떤 곳?', '.https://nimage.g-enews.com/phpwas/restmb_allidxmake.php?idx=5&simg=20250225191555023584a01bf698f218145175167.jpg');)
 대체 어떤 곳?', '.https://nimage.g-enews.com/phpwas/restmb_allidxmake.php?idx=5&simg=20250225191555023584a01bf698f218145175167.jpg');)
비트코인 이더리움 리플 "패닉 붕괴 "
이미지 확대보기
26일 뉴욕증시와 암호화폐에 따르면 가상자산 거래소 '바이비트'를 해킹한 조직으로 북한의 '라자루스'가 지목되고 있다. 라자루스는 주로 가상자산 거래소, 금융 기관을 표적으로 삼아 탈취한 자금을 미사일 개발, 북한 정권의 외화 조달 수단으로 활용하고 있다. 바이비트는 해킹으로 14억 6000만 달러 우리돈 약 2조1000억 원의 자금을 탈취당했다. 라라루스에 탈취된 자산은 이더리움(ETH)과 ERC-20(이더리움 토큰 발행 표준) 계열 가상자산이다. 이번 해킹은 가상자산 거래를 대상으로 한 해킹 중 가장 큰 규모의 자금 탈취 사례다.
암호화폐 업계에서는 북한 정찰총국 산하 해킹 조직 '라자루스' 그룹을 이번 사태의 배후로 지목했다. 바이비트 해킹 사실을 최초로 발견한 블록체인 보안 전문가 잭XBT는 텔레그램에서 "북한의 라자루스 그룹이 탈취 자금을 가상자산 믹싱 플랫폼 eXch에서 세탁하기 시작했다"고 말했다. 믹싱 플랫폼은 가상자산을 쪼개고 섞어 여러 지갑 주소로 재분배하는 기술로 자금 추적을 어렵게 한다. 가상화폐 헤지펀드 아케인애샛의 에릭 윌 최고투자책임자(CIO)는 X(옛 트위터)에서 "라자루스는 일반적으로 ERC-20 기반의 자산을 이더리움(ETH)으로 바뀐 뒤 다시 비트코인(BTC)으로 교환한다"며 "이후 여러 가상자산 거래소를 활용해 비트코인을 현금화한다"고 전했다. 해킹 후 믹싱 플랫폼서 자금세탁을 한 다음 미사일·무기 개발에 자금 활용을 한다는 것이다.
라자루스는 예전부터 여럿 가상자산 해킹 범죄를 저질러 왔다. 지난 2022년 3월 블록체인 기반 게임 '엑시인피니티'의 사이드체인 '로닌'에서 총 6억달러의 가상자산이 탈취됐다. 당시 미국 재무부는 그 배후에 '라자루스'가 있다고 지목했다. 내부 직원에게 악성 첨부 파일을 메일로 전송해 보안시스템에 접근한 수법이다. 크로스 체인 '하모니 호라이즌 브릿지'를 해킹해 1억 달러 규모 가상자산을 탈취하기도 했다. 이 자산은 믹싱 플랫폼 '토네이도 캐시'에서 세탁됐으며 당시 미국 연방수사국(FBI)도 라자루스의 소행임을 공식적으로 밝혔다. FBI는 "해킹으로 조달한 자금은 북한의 탄도미사일과 대량살상무기 프로그램 지원에 사용됐다"고 설명했다. 라자루스는 업비트오 공격했다. 업비트는 지난 2019년 11월 34만 개의 이더리움을 해킹으로 탈취당했다. 지난해 경찰 측은 해당 사건을 라자루스가 주도한 범행으로 파악하고 자금이 대부분 북한으로 흘러갔을 것으로 추정했다. 바이비트는 "과거 라자루스는 개발자로 위장한 해커를 공격 대상 프로젝트에 잠입하기도 했다"며 "이번에는 피싱, 악성코드에 감염된 크롬 확장 프로그램으로 거래소에 접근했다"고 설명했다.
북한의 가상자산 해킹 사례는 날이 갈수록 증가하고 있다. 블록체인 데이터 분석 기업 체이널리시스는 025 가상자산 범죄 보고서'에서 "북한 해커들이 지난해 탈취한 가상자산은 총 13억 4000만달러로 전년 대비 2배 넘게 증가했다"고 말했다. 이는 지난해 전 세계 가상자산 해킹으로 도난당한 자금(22억 달러)의 66%에 달하는 규모다. 북한의 정보기술(IT) 인력들이 신분을 위장하고 가상자산 기업에 침투해 8800만 달러의 수익을 챙긴 사례도 있었다.
라자루스 그룹(Lazarus Group)은 북한 정찰총국의 해커 부대이다. 예전에는 히든 코브라(HIDDEN COBRA)라고 불렸다. 2004년 탈북한 IT전문가가 중국 선양시의 북한 호텔인 칠보산 호텔을 북한 해커들의 활동 거점 가운데 하나로 지목했다.[2009년 트로이 작전(Operation Troy)이라고 불린 해킹 사건의 주범으로 알려져 있다. 그 이전에는 포착된 적이 없다. 미국 보안회사 맥아피(McAfee)는 2009년부터 한국에서 발생한 트로이 작전(Operation Troy) 해킹이 한국군과 주한미군을 타겟으로 한 조직적이고 지속적인 사이버 공격 시도로 분석했다. 트로이 작전(Operation Troy)이라고 명명된 악성 맬웨어(Malware)가 최소한 4년 이상 한국 정부와 군대의 컴퓨터들을 감염시킨 후 '미국 육군', '비밀', '키 리졸브 작전', '합참 직원' 등의 용어로 군사 기밀을 검색, 수집했다. 이 보고서를 쓴 맥아피 수석 연구원 라이언 셔스토비토프는 "이것은 단순한 공격이 아닌 군사 간첩 행위"라고 말했다. 북한은 정찰총국 등을 중심으로 7,000 명의 해커 부대를 운용중이다.
비밀스러운 라자루스 그룹은 2016년 방글라데시 중앙은행(Central Bank of Bangladesh)의 8,100만 달러 은행 강도의 배후로 추정되는 단체다. 이 조직에 관해서는 조직원이나 위치 등 알려진 것이 거의 없지만 보안 벤더 카스퍼스키(Kaspersky)의 연구원들이 1년 이상 이 그룹을 추적해왔다.
라자루스 공격은 4단계로 구성된다. 첫 번째 단계는 대상의 단일 시스템을 원격 액세스가 가능한 코드 또는 웹사이트에 심은 익스플로잇 공격을 통해 해킹하는 초기 해킹이다. 직원이 맬웨어를 다운로드하면 해당 그룹이 해킹된 시스템에 추가적인 맬웨어를 배치할 수 있다. 다음 라자루스 해커들은 다른 은행 호스트로 이동하여 조직 전체 백도어를 배치한다. 그리고 나서 네트워크에 관해 학습하고 지도를 작성하기 위해 정찰을 수행하며 자격 증명이나 인증 정보가 저장되어 있는 백업 서버 등의 중요한 내부 자원을 플래그(Flag)로 표시한다. 마지막으로 해당 그룹은 피해자의 보안을 우회하기 위해 특별히 개발된 맬웨어를 매치고 이로부터 트랜잭션을 발생시킨다. 카스퍼스키는 북한의 “매우 희귀한” IP 주소로부터 잠시 동안만 존재하는 명령 및 제어 서버와의 이상한 관련성을 발견했다고 전했다.
글로벌 3위 가상자산 거래소 바이비트에서 2조 원(14억 6000만 달러, 피해 당시 기준) 규모 이더리움을 탈취한 북한 해킹그룹은 서명을 위조하는 방식을 사용했다. 그 배후는 북한 정찰총국 산하 해킹그룹 라자루스가 지목된다. 안전하다고 여겨진 오프라인 지갑(콜드월렛)에서 피해가 발생해 충격이 컸다. 트랜잭션(거래 기록) 서명을 꼼꼼히 확인하는 개인 예방도 중요하지만, 다중서명(멀티시그) 시스템 강화가 시급하다는 지적이다. 자금 탈취는 콜드월렛에서 온라인 지갑(웜 월렛)으로 자금이 이동하는 과정에서 이뤄졌다.
북한 정찰총국는 시트린 슬리트, 안다리엘 등 해킹조직도 거느리고 있다. 거래 인터페이스 조작 외에도 가짜 암호화폐 플랫폼, 구직 신청서 등을 배포해 피싱을 시도한다. 또 사용자에게 악성코드가 담긴 암호화폐 지갑이나 거래 애플리케이션(앱)을 내려받도록 유도한다. 이메일에 첨부된 수상한 압축 파일·URL을 조심해야 하는 이유다.
김대호 글로벌이코노믹 연구소장 tiger8280@g-enews.com
