북한이 해킹으로 편취한 가상자산, ‘세탁’ 통해 현금화
믹서·해시파워랜탈·클라우드 마이닝 등...거래 흔적 지우고 추적 어렵게 해
[보안뉴스 박은주 기자] 북한 해킹의 피날레는 현금화다. 아무리 많은 가상자산이 있어도 현금화할 수 없다면 그림의 떡에 불과하다. 이때, 핵심은 세탁이다. 가상자산은 블록체인 기반으로 유통되기 때문에 거래 시 내역이 남는다. 탈취한 가상자산은 수사기관의 추적을 통해 덜미가 잡힐 위험이 있다. 따라서 현금화 전에 가상자산의 거래 내역을 지워 불법으로 마련한 자금이라는 흔적을 없애는 것이 필수적이다.
▲라자루스의 소행으로 밝혀진 금융, 자산 관련사건 연표[자료=보안뉴스]
북한의 해킹은 대남·해외 공작업무 총괄지휘국인 정찰총국 주도하에 이뤄진다. 3월 4일 글로벌 보안기업 맨디언트가 발표한 북한 해킹그룹 관련 보고서에 따르면 정찰총국 산하에는 △라자루스 △김수키 △안다리엘 △템프허밋 등 다양한 해킹 그룹이 활동하는 것이 확인됐다. 그중 ‘라자루스’는 금융기관, 가상자산 등 돈과 관련된 기관을 주로 공격하는 것으로 알려졌다.
위 표에서 보이는 사건과 더불어 금융보안 인증 소프트웨어 취약점을 악용해 대규모 공급망 공격을 시도한 해커조직 또한 ‘라자루스’라고 18일 경찰청이 공식 발표했다.
북한의 해킹그룹은 천문학적인 액수의 가상자산을 도둑질한다. 블록체인전문 분석기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’를 살펴보면 2022년 라자루스 등 북한과 관련된 해커들이 17억 달러(약 2조 1,000억원) 상당의 가상자산을 탈취한 것을 확인할 수 있다. 이 가상자산은 세탁 과정을 거친다. 가상자산을 세탁하는 방법은 △믹서 △해시파워렌탈 △클라우드 마이닝 등이 있다. 이 과정을 통해 예치금과 인출금 사이의 연결고리를 끊어내고 거래 흔적을 지워 추적을 어렵게 하는 것이다.
믹서(Mixer)
재료를 잘게 갈거나 주스를 만들 때 사용하는 조리도구와 마찬가지로 가상자산을 쪼개고 섞어 재분배하는 기술이다. 믹서의 본래 목적은 가상자산을 거래할 때 개인정보를 보호하기 위해 설계됐다. 그러나 자금 출처를 지우는 범죄에 악용되는 경우가 태반이다. 체이널리시스가 2022년 발표한 보고서를 통해 국가주도 범죄와 사이버 범죄로 인해 2022년 믹서 사용량이 사상 최고치를 기록한 것으로 드러났다. 2022년 4월 19일 하루에 5,180만 달러(약 676억 7,000만원)가 믹서 서비스로 유입됐다. 또한, ‘2023 가상자산 범죄 보고서’에 따르면 2021년부터 2022년까지 북한과 연계된 해커들이 사용한 믹서는 △토네이도캐시 △신드바드 △블랜드 등으로 파악됐다. 이 중에서 주로 토네이도 캐시를 집중적으로 사용했다.
믹서 사용량은 2020년부터 꾸준히 증가해 왔다. 북한의 금융 해킹 기술동향을 조사한 결과 도난당한 자금의 종착지 1위가 믹서, 2위가 탈중앙화 거래소(DeFi, 디파이)였다. 가상자산 생태계에서 디파이 사용량이 늘며 믹서의 사용량도 증가했다. 2022년 북한 정부와 관련된 해커들이 디파이 프로토콜에서 11억달러(약 1조 4,751억원)를 훔친 것으로 추정된다. 탈취한 가상자산이 많아져 세탁할 액수가 늘어났다고 볼 수 있다.
해시파워렌탈(Hash Power Rental)
해시파워(Hash Power)는 블록체인 기술을 바탕으로 하는 가상자산 환경에서 가상자산을 채굴하는 역량을 의미한다. 해시파워가 높을수록 채굴할 수 있는 자산의 양이 늘어나게 된다. 해커들은 새로운 가상자산을 채굴할 수 있는 해시파워를 빌린다. 해시파워 렌탈 비용을 탈취한 가상자산으로 지불하기 위해서다. 이를 통해 채굴한 가상자산은 범죄와 관련 없는 지갑으로 입금된다. 일련의 과정이 가상자산을 세탁하는 방법이다. 이는 지난 4월 보안기업 맨티언트가 분석한 ‘APT43’ 혹은 킴수키(Kimsuky), 탈륨(Thallium)으로 알려진 북한의 해킹그룹이 사용하는 수법으로 확인됐다. 마치 훔친 돈으로 조폐 기계의 기능을 향상시켜 더 많은 돈을 찍어내는 격이다. 그럼 더 많은 돈을 찍어낼 수 있고, 만들어진 돈을 확인했을 때, 훔친 돈으로 만들었다는 증거를 찾기는 더 어려워진다.
클라우드 마이닝(Cloud Mining)
해시파워렌탈과 비슷한 유형으로 클라우드 시스템을 대여하는 수법이다. 클라우드 시스템은 불특정 다수의 고객이 시스템의 컴퓨팅 파워를 대여해 암호화폐를 채굴하는 서비스다. 해커들은 클라우드 사용 금액을 훔친 가상자산으로 지불하고, 마이닝 서비스를 통해 채굴한 가상자산 또한 깨끗한 지갑으로 입금된다.
북한의 해커조직은 이처럼 다양한 방법을 통해 가상자산을 세탁한다. 2022년 블록체인 비디오 게임업체인 ‘AXS(액시인피니티)’과 블록체인 기업 하모니에서 약 7억 2,000만 달러(약 9,518억 4,000만원) 상당의 가상자산을 탈취했다. 품목에는 17만 3,600개의 이러리움(약 7,550억원)과 2,550만 달러(약 449억원) 상당의 USDC가 포함돼 있었다. 수사기관의 조사 결과, 해당 자금세탁에 가상자산 믹싱 서비스인 ‘토네이도 캐시’가 연루된 것을 확인했고, 미 재무부는 토네이도캐시를 제재했다.
북한의 사이버 공격은 점점 과감해져 간다. 탈취한 가상자산을 보호(?)하기 위해 복잡한 세탁 방법을 거친다. 커져가는 북한발 해킹 공포에 어떤 피해가 이어질지 한치 앞을 예상하기 힘든 상황이다.
[박은주 기자(boan5@boannews.com)]
믹서·해시파워랜탈·클라우드 마이닝 등...거래 흔적 지우고 추적 어렵게 해
[보안뉴스 박은주 기자] 북한 해킹의 피날레는 현금화다. 아무리 많은 가상자산이 있어도 현금화할 수 없다면 그림의 떡에 불과하다. 이때, 핵심은 세탁이다. 가상자산은 블록체인 기반으로 유통되기 때문에 거래 시 내역이 남는다. 탈취한 가상자산은 수사기관의 추적을 통해 덜미가 잡힐 위험이 있다. 따라서 현금화 전에 가상자산의 거래 내역을 지워 불법으로 마련한 자금이라는 흔적을 없애는 것이 필수적이다.
▲라자루스의 소행으로 밝혀진 금융, 자산 관련사건 연표[자료=보안뉴스]
북한의 해킹은 대남·해외 공작업무 총괄지휘국인 정찰총국 주도하에 이뤄진다. 3월 4일 글로벌 보안기업 맨디언트가 발표한 북한 해킹그룹 관련 보고서에 따르면 정찰총국 산하에는 △라자루스 △김수키 △안다리엘 △템프허밋 등 다양한 해킹 그룹이 활동하는 것이 확인됐다. 그중 ‘라자루스’는 금융기관, 가상자산 등 돈과 관련된 기관을 주로 공격하는 것으로 알려졌다.
위 표에서 보이는 사건과 더불어 금융보안 인증 소프트웨어 취약점을 악용해 대규모 공급망 공격을 시도한 해커조직 또한 ‘라자루스’라고 18일 경찰청이 공식 발표했다.
북한의 해킹그룹은 천문학적인 액수의 가상자산을 도둑질한다. 블록체인전문 분석기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’를 살펴보면 2022년 라자루스 등 북한과 관련된 해커들이 17억 달러(약 2조 1,000억원) 상당의 가상자산을 탈취한 것을 확인할 수 있다. 이 가상자산은 세탁 과정을 거친다. 가상자산을 세탁하는 방법은 △믹서 △해시파워렌탈 △클라우드 마이닝 등이 있다. 이 과정을 통해 예치금과 인출금 사이의 연결고리를 끊어내고 거래 흔적을 지워 추적을 어렵게 하는 것이다.
믹서(Mixer)
재료를 잘게 갈거나 주스를 만들 때 사용하는 조리도구와 마찬가지로 가상자산을 쪼개고 섞어 재분배하는 기술이다. 믹서의 본래 목적은 가상자산을 거래할 때 개인정보를 보호하기 위해 설계됐다. 그러나 자금 출처를 지우는 범죄에 악용되는 경우가 태반이다. 체이널리시스가 2022년 발표한 보고서를 통해 국가주도 범죄와 사이버 범죄로 인해 2022년 믹서 사용량이 사상 최고치를 기록한 것으로 드러났다. 2022년 4월 19일 하루에 5,180만 달러(약 676억 7,000만원)가 믹서 서비스로 유입됐다. 또한, ‘2023 가상자산 범죄 보고서’에 따르면 2021년부터 2022년까지 북한과 연계된 해커들이 사용한 믹서는 △토네이도캐시 △신드바드 △블랜드 등으로 파악됐다. 이 중에서 주로 토네이도 캐시를 집중적으로 사용했다.
믹서 사용량은 2020년부터 꾸준히 증가해 왔다. 북한의 금융 해킹 기술동향을 조사한 결과 도난당한 자금의 종착지 1위가 믹서, 2위가 탈중앙화 거래소(DeFi, 디파이)였다. 가상자산 생태계에서 디파이 사용량이 늘며 믹서의 사용량도 증가했다. 2022년 북한 정부와 관련된 해커들이 디파이 프로토콜에서 11억달러(약 1조 4,751억원)를 훔친 것으로 추정된다. 탈취한 가상자산이 많아져 세탁할 액수가 늘어났다고 볼 수 있다.
해시파워렌탈(Hash Power Rental)
해시파워(Hash Power)는 블록체인 기술을 바탕으로 하는 가상자산 환경에서 가상자산을 채굴하는 역량을 의미한다. 해시파워가 높을수록 채굴할 수 있는 자산의 양이 늘어나게 된다. 해커들은 새로운 가상자산을 채굴할 수 있는 해시파워를 빌린다. 해시파워 렌탈 비용을 탈취한 가상자산으로 지불하기 위해서다. 이를 통해 채굴한 가상자산은 범죄와 관련 없는 지갑으로 입금된다. 일련의 과정이 가상자산을 세탁하는 방법이다. 이는 지난 4월 보안기업 맨티언트가 분석한 ‘APT43’ 혹은 킴수키(Kimsuky), 탈륨(Thallium)으로 알려진 북한의 해킹그룹이 사용하는 수법으로 확인됐다. 마치 훔친 돈으로 조폐 기계의 기능을 향상시켜 더 많은 돈을 찍어내는 격이다. 그럼 더 많은 돈을 찍어낼 수 있고, 만들어진 돈을 확인했을 때, 훔친 돈으로 만들었다는 증거를 찾기는 더 어려워진다.
클라우드 마이닝(Cloud Mining)
해시파워렌탈과 비슷한 유형으로 클라우드 시스템을 대여하는 수법이다. 클라우드 시스템은 불특정 다수의 고객이 시스템의 컴퓨팅 파워를 대여해 암호화폐를 채굴하는 서비스다. 해커들은 클라우드 사용 금액을 훔친 가상자산으로 지불하고, 마이닝 서비스를 통해 채굴한 가상자산 또한 깨끗한 지갑으로 입금된다.
북한의 해커조직은 이처럼 다양한 방법을 통해 가상자산을 세탁한다. 2022년 블록체인 비디오 게임업체인 ‘AXS(액시인피니티)’과 블록체인 기업 하모니에서 약 7억 2,000만 달러(약 9,518억 4,000만원) 상당의 가상자산을 탈취했다. 품목에는 17만 3,600개의 이러리움(약 7,550억원)과 2,550만 달러(약 449억원) 상당의 USDC가 포함돼 있었다. 수사기관의 조사 결과, 해당 자금세탁에 가상자산 믹싱 서비스인 ‘토네이도 캐시’가 연루된 것을 확인했고, 미 재무부는 토네이도캐시를 제재했다.
북한의 사이버 공격은 점점 과감해져 간다. 탈취한 가상자산을 보호(?)하기 위해 복잡한 세탁 방법을 거친다. 커져가는 북한발 해킹 공포에 어떤 피해가 이어질지 한치 앞을 예상하기 힘든 상황이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
