북한 해커, 디지털 자산에 대한 공격 지속

이란 국가 해커들이 랜섬웨어 공격과 암호화폐 채굴을 수행해 왔으며, 러시아가 일부 경우에 민간 랜섬웨어 그룹을 이용하는 것으로 알려져 있지만, 북한 정부는 금융 사이버 범죄를 핵심 목표로 하는 공격 활동에 포함시키는 유일한 주요 적대국이다.

북한의 사이버 범죄 프로그램은 다중 머리를 가진 히드라와 같으며, 은행 강탈부터 랜섬웨어 배포, 온라인 거래소에서 암호화폐 절도에 이르기까지 다양한 전술을 사용한다.

라자루스, 김수키, 비글보이즈라는 별명을 가진 북한 해커들은 점점 더 정교한 도구를 사용해 전 세계의 군사, 정부, 기업 및 방위 산업 네트워크에 침투하고, 사이버 스파이 활동을 수행하며 기밀 데이터를 탈취해 북한 무기 개발을 지원한다.

악의적인 행위자들은 개인들을 속여 접근 권한을 얻거나 보안을 침해하여 인터넷에 연결된 지갑에서 북한이 통제하는 주소로 디지털 자금을 빼냈다. 제재를 받은 이 나라는 도난당한 암호화폐를 세탁하기 위해 정교한 방법을 사용하고 있으며, 수천 개 주소에서 암호화폐를 집계하고 뒤섞는 소프트웨어 도구의 사용을 강화하고 있다.

지난 해, 미국 법무부는 3명의 북한 컴퓨터 프로그래머를 광범위한 범죄 공모에 가담한 혐의로 기소했으며, 이들은 금융 기관 및 기업으로부터 13억 달러 이상의 현금과 암호화폐를 훔치고 갈취하기 위한 일련의 파괴적인 사이버 공격을 수행하고, 다수의 악성 암호화폐 애플리케이션을 만들고 배포했으며, 블록체인 플랫폼을 개발하고 사기적으로 마케팅한 혐의를 받고 있다.

실제로, 북한의 암호화폐 공격은 계속되고 있으며, 지난 상승장 이후 10억 달러 이상을 축적했다.

$1.2 Bln 도난, 2017년 이후

지난 주, 한국 국가정보원(NIS)은 최근 5년간 북한 해커들이 약 1조 5천억 원(12억 달러) 규모의 암호화폐를 탈취했다고 보고했다. 이 중 절반 이상이 올해에만 발생했으며, 이 거대한 금액 중 불과 7,800만 달러만이 한국에서 유출된 것으로 나타났다.

한국 정보기관에 따르면, 올해만 해도 8천억 원(6억 2천만 달러) 규모의 암호화폐가 도난당했다. 이에 대해 NIS 대변인은 이번 해킹이 모두 해외에서 발생했으며, “한국에서는 가상자산 거래가 실명 거래로 전환되고 보안이 강화되어 피해가 없었다”고 밝혔다.

이러한 상황을 모르는 사람들을 위해 말하자면, 2021년 한국 정부는 암호화폐 거래에 대한 KYC(고객 확인) 규정을 새롭게 도입했다. 이는 국내 모든 암호화폐 거래소가 고객에게 자금을 입출금하는 동일한 은행과 실명 계좌를 개설하도록 요구한다는 의미이다.

거래소와 은행 모두 고객의 신원을 확인해야 하며, 또한 거래소는 영업을 시작하기 전에 금융위원회(FSC)로부터 허가를 받아야 한다.

북한 해커 그룹은 올해 여러 대규모 암호화폐 침해 사건과 연관되었으며, 그 중 $1억 규모의 Harmony 공격도 포함된다. 전문가들은 이러한 공격이 국제 사회의 강력한 상업 제재를 받는 북한이 외화 보유고를 확보하기 위한 수단이라고 보고 있다.

NIS에 따르면, 북한은 세계 최고 수준의 디지털 자산 절도 능력을 보유하고 있다. 이는 2017년 북한의 핵·미사일 실험에 대한 UN 경제 제재가 강화된 이후 사이버 범죄에 집중해 온 결과이다.

기관은 또한 내년에는 북한 사이버 공격이 더욱 강화될 것이라고 경고했다: “공격을 방어만큼 면밀히 분석할 필요가 있다. 하나의 해커 조직이 모든 공격 정보를 보유하고 이를 잊지 않기 때문이다. 다양한 공격자들이 퍼뜨린 악성 코드와 관련된 정보를 수집해 의미 있는 인사이트를 찾아야 한다.”

북한 해커들은 다른 국가 해킹 그룹 및 사이버 범죄자들이 사용하는 전형적인 전술, 즉 사회공학, 피싱, 소프트웨어 취약점 이용 등을 활용한다.

새로운 악성코드 전달 방식 테스트

라자루스의 BlueNoroff 하위 그룹은 기업을 대상으로 다각적인 공격을 펼쳐 불법적으로 자금을 확보하기 위해 다양한 악성코드 무기를 배치하는 것으로 알려졌다. 여기에는 정교한 피싱 전술과 악성코드를 결합해 자금을 세탁하는 방식이 포함된다.

사이버보안 연구소 카스퍼스키의 보고서에 따르면, BlueNoroff는 연중 대부분 침묵을 유지한 뒤 이번 주에 벤처 캐피털 기업, 암호화폐 스타트업, 은행을 다시 표적으로 삼기 시작했으며, 현재 활동이 급증하고 있다.

BlueNoroff는 VC 기업처럼 보이도록 70개가 넘는 가짜 도메인을 만들었다. 대부분은 유명 일본 기업을 가장하고, 일부는 미국 및 베트남 기업의 신원을 도용했다.

최근 보고서에 따르면, 이 그룹은 새로운 파일 형식 및 기타 악성코드 전달 방식을 실험하고 있다. 일단 배포되면, 이들의 악성코드는 Windows Mark-of-the-Web(MoTW) 보안 경고를 회피할 수 있다. 이후 “대규모 암호화폐 전송을 가로채어 수신자 주소를 변경하고 전송 금액을 한도까지 늘려, 사실상 한 번의 거래로 계정을 고갈시킨다.”는 행동을 수행한다.

사이버 위협이 악화함에 따라 기업은 그 어느 때보다 경계를 강화해야 한다. 카스퍼스키 연구원 박성수는 “다가오는 해는 지금까지 경험하지 못한 규모와 강도의 사이버 전염병이 가장 큰 영향을 미칠 것”이라고 경고했다.

라자루스 BlueNoroff 하위 그룹과 연계된 운영자들은 전 세계 중소기업을 대상으로 한 여러 사이버 공격과 연관돼 있다. 최근 몇 주 동안 라자루스 그룹과 연계된 북한 위협 행위자들이 대체 불가능 토큰(NFT)을 탈취하려는 시도를 벌이고 있어, NFT도 해킹 그룹의 표적에서 제외되지 않는다.

피싱을 통한 NFT 절도

블록체인 보안 업체 SlowMist가 지난 주 말에 발표한 보고서는 북한 APT 그룹이 NFT 사용자를 표적으로 한 대규모 피싱 활동을 심층 분석했다.

SlowMist는 최근 피싱 공격에서 사용된 기법 중 하나가 악성 민트를 포함한 가짜 NFT 관련 미끼 웹사이트를 만드는 것이었으며, 이러한 NFT는 OpenSea, Rarible, X2Y2와 같은 인기 플랫폼에서 판매되었다는 사실을 발견했다.

미국 정부는 이 고도 지속 위협(APT) 그룹을 최소 2020년부터 TraderTraitor로 식별했으며, 500개에 달하는 다양한 도메인명을 이용해 암호화폐 및 NFT 사용자를 대상으로 피싱 캠페인을 전개했다.

이 해커들이 흔히 사용하는 독특한 피싱 특성으로는 방문자 데이터를 기록해 외부 사이트에 저장하는 피싱 웹사이트, NFT 아이템 가격 목록 요청, 그리고 대상 프로젝트의 이미지를 연결하는 “imgSrc.js” 파일이 있다.

피싱 방법을 분석한 결과, SlowMist는 해커들이 WETH, USDC, DAI, UNI 등 여러 토큰을 피싱 공격에 활용하고 있음을 추가로 확인했다.

Ronin에 대한 최대 규모 공격

올해 초, 라자루스 그룹은 NFT 게임 Axie Infinity가 사용하는 Ronin 블록체인에서 6억 달러가 넘는 암호화폐를 탈취하는 데 성공했다. 블록체인 분석 업체 체인얼리시스는 이번 공격을 지금까지 가장 큰 암호화폐 해킹이라고 평가했다.

베트남 게임 스튜디오가 만든 Axie Infinity는 한때 100만 명 이상의 활성 플레이어를 보유했다. 그리고 올해 초, 게임 가상 세계를 뒷받침하는 블록체인이 북한 해킹 조직에 의해 침해되어 약 6억 2천만 달러 규모의 이더리움을 탈취당했다.

그 후, 법 집행 기관과 암호화폐 분석 기업들의 연합이 일련의 DEX와 “암호화폐 믹서”(다수 사용자의 암호화폐를 혼합해 자금의 소유자와 출처를 은폐하는 서비스)를 통해 도난된 자금 일부를 추적하면서 약 3천만 달러 규모의 암호화폐만 회수되었다.

미국은 이후 토네이도 캐시 믹서를 제재했으며, 미국 재무부는 해커들이 이 서비스를 이용해 4억 5천만 달러 이상의 이더리움을 세탁했다고 밝혔다.

암호화폐 투자 스타트업도 표적

이러한 일련의 공격 속에서 마이크로소프트는 이번 달 초, 암호화폐 투자 스타트업을 표적으로 하는 위협 행위자를 확인했다고 발표했다. 마이크로소프트가 DEV-0139라 명명한 이 그룹은 텔레그램에서 암호화폐 투자 회사를 가장하고, 무장된 엑셀 파일을 사용해 원격으로 접근한 시스템에 감염시킨다.

이 위협은 OKX 직원의 가짜 프로필을 사용해 자신을 가장하고, “VIP 고객과 암호화폐 거래소 간 소통을 돕는” 텔레그램 그룹에 가입하는 등 높은 수준의 정교함을 보여주었다고 마이크로소프트는 밝혔다.

마이크로소프트는 또한 위협 행위자가 매우 숙련되어 목표와 신뢰를 구축한 뒤 페이로드를 배포하는 등 사전 준비에 시간을 투자하는 정교한 공격이 증가하고 있다고 언급했다.

예를 들어, 몇 달 전 한 대상자는 그룹에 초대받아 암호화폐 거래소 HTX, Binance, OKX의 VIP 수수료 구조를 비교한 엑셀 문서에 대한 피드백을 요청받았다. 해당 문서는 정확한 정보와 높은 암호화폐 거래 인식을 제공했지만, 동시에 악성 .dll(Dynamic Link Library) 파일을 눈에 보이지 않게 사이드로드하여 사용자의 시스템에 백도어를 만들었다. 이후 대상자는 토론 중에 스스로 악성 파일을 열도록 요구받았다.

마이크로소프트는 DEV-0139가 사이버보안 업체 Volexity가 라자루스 그룹과 연계시킨 동일한 행위자이며, AppleJeus 악성코드 변종과 마이크로소프트 설치 프로그램(MSI)을 사용한다고 제시했다.

2021년, AppleJeus는 미국 연방 사이버보안 및 인프라 보안청(CISA)에 의해 문서화되었다.

암호화폐 공격의 지속적인 증가

체인얼리시스에 따르면, 북한 정부가 수행하는 암호화폐 공격 규모가 최근 실제로 증가하고 있다.

블록체인 분석 업체 보고서에 따르면, 라자루스 그룹은 2021년에만 암호화폐 플랫폼에 대한 7건의 공격과 약 4억 달러 규모의 디지털 자산을 탈취했으며, 이는 2020년의 3억 달러와 비교된다.

기록상 가장 성공적인 연도 중 하나인 2021년, 북한 연계 해킹 건수는 4건에서 7건으로 증가했으며, 이들 해킹을 통해 추출된 가치도 40% 상승했다.

보고서에 따르면, 북한이 자금을 장악하자마자 즉시 감지되지 않도록 현금화하기 위한 정교한 세탁 과정을 시작했다.

체인얼리시스는 모든 암호화폐 해킹 대상자를 식별하지는 못했지만, 주로 투자 회사와 중앙화 거래소가 목표였다고 밝혔다. 또한 이들 거래소 중 하나인 Liquid.com은 8월에 무단 사용자가 일부 암호화폐 지갑에 접근했다고 발표했다.

체인얼리시스에 따르면, 공격자들은 피싱 미끼, 악성코드, 코드 취약점, 고급 사회공학 기법을 이용해 이들 조직의 “핫” 지갑에서 자금을 빼내어 북한이 통제하는 주소로 전송했다.

보고서는 또한 연구원들이 2017년부터 2021년까지 49건의 개별 해킹에서 발생한 1억 7천만 달러 규모의 오래된 미세탁 암호화폐 보유량을 확인했으며, 이는 신중한 현금화 계획을 시사하고 “절박하고 성급한 것이 아니다”라고 덧붙였다.

최종 메모

해커들은 북한 정권을 지원하기 위해 암호화폐 기술 기업, 게임 기업, 거래소의 취약점을 계속 악용해 자금을 생성하고 세탁할 것으로 예상된다.

북한이 사이버 공격을 이용해 핵무기 프로그램을 지원할 자금을 탈취해 온 것으로 알려져 있기 때문에, 이는 심각한 문제임은 말할 필요가 없다. 이는 특히 국가 지원 해커가 표적이 될 수 있는 기업 및 조직에 대해 사이버 보안의 중요성을 강조한다.

북한 정부가 이러한 활동에 관여했음을 부인하고 있지만, 증거는 해커들이 정권의 허가를 받고 활동하고 있음을 시사한다. 북한 해커가 제기하는 지속적인 위협을 고려할 때, 기업과 개인은 경계를 유지하고 디지털 자산을 보호하기 위한 조치를 취해야 한다.