구글 "北 해커, 암호화폐 탈취 시도", 탈취 자금은 핵무기 개발 투입 가능성

탈중앙화·퍼블릭 블록체인에 악성코드 숨겨
개발자가 '악성명령' 직접 설치하도록 유도
올해 2월엔 바이비트 이더리움 40만 개 탈취

북한 해커 조직이 암호화폐를 탈취하려 시도한 정황이 확인됐다. 지난 2월 세계 2위의 암호화폐 거래소 바이비트의 공급업체를 해킹해 사상 최대의 자금을 탈취한 지 8개월 만이다. 암호화폐 탈취가 북한의 외화벌이 수단이 된 가운데, 이들은 위장 취업을 통해 미국 기술 기업에 침투하거나, 보안이 허술한 개인 투자자를 표적으로 삼는 등 공격 범위를 확대하고 있다. 이들이 탈취한 자금은 북한 국내총생산(GDP)의 13%에 이르는 규모로, 대부분 핵무기 등 대량살상무기 개발에 투입되는 것으로 알려졌다.

다단계 악성코드 감염 절차 통해 공격

19일(현지시각) 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group, GTIG)은 북한 연계 위협 그룹 UNC5342가 소셜 엔지니어링으로 개발자를 속여 악성코드를 직접 설치하도록 유도한 뒤, 암호화폐를 탈취하고 민감 정보를 수집하려 한 정황을 포착했다고 밝혔다. 이는 이더하이딩(EtherHiding)으로 불리는 신종 공격 기법으로, 블록체인상의 트랜잭션이나 스마트 콘트랙트 등에 악성 명령을 은닉해 원격 실행을 유도하는 방식이다. 국가가 지원하는 위협 행위자가 퍼블릭·탈중앙화 블록체인을 이용해 악성코드를 숨긴 사례로는 처음 확인됐다.

이번 공격은 윈도우·macOS·리눅스 등 다양한 운영체제에서 다단계 악성코드 감염 절차를 통해 시스템을 침해했다. 공격자는 악성코드 명령을 블록체인 네트워크에 저장한 뒤 읽기 전용(read-only) 방식으로 불러와, 명령 전달을 추적하거나 차단하기 어렵게 만들었다. 이 과정에서 블록체인의 변경 불가(immutable) 속성을 이용해 명령 체계를 은폐함으로써, 기존 보안 탐지망을 우회하고 익명성을 유지했다. 또한 공격자는 필요에 따라 페이로드(payload)를 유연하게 변경할 수 있어 장기간에 걸친 지속적 위협(Persistent Threat) 수행이 가능했다.

美 FBI, 라자루스 소속 해커 공개 수배

UNC5342와 함께 북한의 해커 집단 가운데 가장 악명 높은 조직으로 꼽히는 라자루스그룹(Lazarus Group)은 지난 2월 세계 2위 암호화폐 거래소 바이비트의 공급업체를 해킹해 이더리움 40만1,000개를 탈취한 바 있다. 이들은 바이비트의 콜드월렛에 보관돼 있던 이더리움을 핫월렛으로 옮기는 과정을 노렸다. 바이비트 측은 정상적인 거래라고 생각해 이더리움을 송금했지만, 실제로는 라자루스 소유의 지갑으로 흘러간 것이다. 암호화폐 보안업체 엘립틱은 해당 사건이 역대 암호화폐 탈취 사건 중 최대 규모라고 밝혔다.

사건 발생 후 바이비트는 현상금을 내걸고 도난당한 이더리움의 현금화를 차단하는 데 힘썼다. 이를 통해 현재까지 4,000만 달러(약 582억원)의 자금을 회수해 거래를 동결했지만, 상당수 자산은 이미 현금화된 것으로 추정된다. 영국 BBC에 따르면 라자루스가 탈취한 암호화폐는 14억6,000만 달러(약 2조1,000억원)에 이르며, 이 중 최소 3억 달러(약 4,400억원)가 현금화된 것으로 파악된다. 전문가들은 북한의 암호화폐 해킹과 자금 세탁 수준을 고려할 때 나머지 자금을 회수할 가능성은 크지 않은 것으로 보고 있다.

북한 정찰총국 소속인 라자루스는 2014년 김정은 북한 국무위원장 풍자 영화를 만들었다는 이유로 소니픽처스를 공격하며 국제사회에 이름을 알렸다. 2016년 방글라데시 중앙은행 해킹과 2017년 150여 개국 20만 대 컴퓨터를 감염시킨 워너크라이(WannaCry) 랜섬웨어 공격도 이들의 소행으로 드러났다. 이들 사건을 주도한 박진혁은 2018년 미 연방수사국(FBI)의 공개 수배 명단에 올랐다. 최근에는 지난 5월 320만 달러(약 44억원)가 유출된 솔라나(Solana) 해킹 사건에서 라자루스의 연루 가능성이 제기되기도 했다.

최근 개인 투자자 자금 20억 달러 탈취

암호화폐 탈취가 북한이 대북 제재를 회피해 외화를 벌어들이는 주요 수단이 되면서 공격 대상도 기업에서 개입 투자자로 확대됐다. 기업에 비해 보안 조치가 허술한 부유한 개인들이 주요 표적이 된 것이다. 블록체인 정보보안 업체 TRM 랩스(Labs)는 올해만 북한 해커들이 고액 암호화폐 보유자를 대상으로 20억 달러(약 2조8,000억원) 이상을 탈취한 것으로 추산한다. 이는 북한 GDP의 약 13%에 해당하는 규모로 이렇게 얻은 자금은 핵무기 등 대량살상무기(WMD) 개발에 투입되는 것으로 알려졌다.

IT 기업 취업을 통해 직접 해당 기업에 잠입해 암호화폐를 탈취하는 수법도 늘고 있다. 취업 기업 중에는 유명 대기업도 포함된 것으로 파악된다. 실제로 지난 6월 미 법무부는 미국 기술 기업에 채용돼 조직적으로 암호화폐를 횡령한 북한인 4명을 기소했다. 해킹 등으로 탈취한 허위 개인식별정보를 활용해 가상의 인물이나 위장 신분으로 취업한 뒤 해당 기업이 관리하는 암호화폐를 가로채 그 수익을 세탁한 혐의다. 이들은 암호화폐 해킹으로 수십만 달러에 달하는 이익을 얻은 것으로 전해진다.

활동 무대도 미국을 넘어 유럽과 아시아로 확장되고 있다. GTIG는 "북한 해커들이 원격 프리랜서로 가장해 유럽 기업에 침투하려는 움직임이 활발해지고 있다"며 "전 세계 어느 곳에서나 북한 근로자 고용이 이뤄질 수 있다"고 경고했다. 지난 2일에는 일본 SBI홀딩스가 북한 해커의 암호화폐 해킹으로 인해 2,100만 달러(약 295억원) 손실을 입었다는 주장이 제기됐다. SBI홀딩스는 일본 대형 금융 그룹 중 하나로 2분기 가상자산 부문 수익이 사상 최대치인 810억 엔(약 7,600억원)을 기록했다.