노르웨이 경찰청·검찰기관 외코크림의 마리안 벤더 지검장에게 듣는 해킹 산업화 실태
사이버범죄자, 주로 ‘믹서(mixer)’와 ‘체인호핑(Chain-Hopping)’ 통해 자금 감추려 노력
국경 넘는 거래 방식, 서로 다른 접근방식·수사기법 통해 최종 ‘자금환수’까지 이뤄내야
[보안뉴스 김영명 기자] 국가정보원과 국가보안기술연구소는 ‘A Step Ahead for Global Cybersecurity-At the Beginning of the AI, Quantum and Space Era’(글로벌 사이버 보안을 위한 한 걸음-인공지능, 양자 및 우주시대의 시작)를 주제로 CSK 2024(Cyber Summit Korea 2024)를 공동 주최했다. 행사 셋째 날인 9월 12일에는 ‘Emerging Threats(떠오르는 위협)’를 소주제로 한 섹션에서 먼저 ‘해킹 산업화’에 대한 발표가 진행됐다. 이번 섹션은 고려대 정보보호대학원 김휘강 교수가 좌장을 맡아 진행했다.
[이미지=gettyimagesbank]
노르웨이 경찰청·검찰기관 외코크림(ØKOKRIM)의 마리안 벤더(Marianne Bender) 지검장은 ‘해킹 세계에서 돈의 흐름을 추적하라’라는 주제로 발표했다. 마리안 벤더 지검장은 “북한 등 국가지원을 받는 많은 해커조직의 사이버범죄 동기는 자금 확보이고, 특히 북한 외화벌이의 30%는 암호화폐 탈취로부터 얻는 것으로 추측하고 있다”고 말했다. 이어 “많은 법집행기관은 수상한 자금 추적에 대해 효과적인 방법을 논의해 왔으며, 지금 이 자리에서도 해킹 세계에서 효과적으로 자금추적을 하는 방법에 대해 이야기를 풀어보려고 한다”고 말했다.
노르웨이는 러시아와 국경을 맞닿고 있다. 우리나라와 북한이 국경을 마주하고 있는 것처럼 이웃국가의 유형이 비슷하다. 노르웨이는 2022년에 온라인 게임 회사에서 역대 최대 규모의 암호화폐 탈취 공격이 일어났고 해당 사건으로 6억 2,500만 달러(한화 약 8,282억 5,000만원)의 손실을 입었다. 이 회사는 베트남 기업의 소유였고, 공격자는 북한 해킹그룹으로 추정됐으며, 피해자에 노르웨이 사람이 일부 포함됐다.
이와 관련 마리안 벤더 지검장은 “조사에 참가한 미국 FBI는 북한 해킹조직의 숨겨진 공격임을 파악해 수사하고 있다고 발표했다”며 “저희 기관은 사건을 수사할 때 수사를 통해 무엇을 공부할 수 있는지 찾고 끊임없이 배워나가는데, 특히 이번 사건을 통해 수사 역량을 더욱 강화할 수 있었다”고 말했다. 그 이유에 대해 그는 “세계 최고 수준으로 자금세탁을 하는 북한 해킹조직과 세계 최고의 암호화폐 수사기관인 FBI가 수사에 참여해 배울 게 많았다”고 덧붙였다.
마리안 벤더 지검장은 검사인 만큼 직무에 충실하기 위해서는 기소를 하는 것이 옳지만 노르웨이에서 북한 사람을 기소할 수는 없다. 다만 해킹 사건 수사를 통해 기업이 어떤 피해를 입었고, 해커가 어떤 행동을 자행했는지 살펴보면서 이를 바탕으로 자금을 추적하고 환수하는 것을 목표로 하고 있다. 조사를 통해 지검장은 탈취한 가상자산이 빠르게 분산되고 빠르게 이동하는 것을 확인했다. 계좌를 추적해 확인한 자금 이동과 지출을 보면 계좌 소유자에게 많은 것을 배울 수 있다는 게 벤더 지검장의 설명이다. 사이버 범죄자들은 그들의 정체 노출은 두려워하지 않지만 탈취한 자금은 감추기 위해 노력한다. 특히 범죄자들은 믹서(mixer)와 체인호핑(Chain-Hopping) 수법을 주로 사용하고 있는 것.
그는 “노르웨이 수사당국이 사용하는 범죄 수사 소프트웨어는 시스템이 느리고 무겁기 때문에 문제를 빠르게 식별하고 대처하기 위한 노하우를 신속하게 찾는다”며 “이런 자금 탈취 관련 사건을 포착했을 때 거래건수가 많다면 수사는 더욱 힘들어지는데, 이에 따라 시스템의 매뉴얼화와 함께 자동화의 필요성이 중요해지고 있다”고 말했다. 이어 “빠른 자금 세탁을 추적하기 위해서는 이상거래가 발생하기 전부터 모니터링을 하면서 자금 이동을 예측하고 대응해야 한다”면서도 “하지만 소프트웨어에 한계가 있는 만큼 이에 걸맞은 기술과 전문적인 인력을 모으는 것이 필수”라고 강조했다.
▲노르웨이 외코크림의 마리안 벤더 지검장이 ‘해킹 세계에서 돈의 흐름을 추적하라’는 주제로 발표했다[사진=보안뉴스]
블록체인이나 암호화폐는 국경을 넘나들며 전세계적인 거래가 이뤄지며, 수사를 통해 전 세계 어디라도 추적이 가능하다. 노르웨이와 대한민국은 같은 블록체인을 추적하고 수사하기도 하는데, 이러한 경우에는 국가간 협력으로 큰 시너지 효과를 낼 수 있다. 양국에 24시간 깨어 있는 법집행기관이 범죄행위에 대한 서로 다른 접근방식과 수사기법으로 조사를 하면 시너지를 낼 수 있다는 설명이다. 하지만 법집행기관은 수사의 최종 목표는 ‘자금환수’에 두어야 한다.
반대로 사이버 범죄자들의 최종 목표는 탈취한 암호화폐를 실제 화폐로 환전하는데 두고 있다. 환전소에 자금 환전 요청이 들어오면 환전소는 암호화폐의 실제 주인에게 통보해야 하고, 이를 위해서는 브로커를 추적하는 것이 필요하다. 수사당국의 이러한 노력에 일부 환전소는 협력하지만, 북한 등 일부 사이버 범죄국가의 주된 환전을 맡는 중국 소재 OTC(Over the Counter, 장외거래)는 수사당국에 잘 협조하지 않는다는 게 문제다.
벤더 지검장은 “여러 국가들이 힘을 모아 불법 거래소에 압박을 가하면 더 많은 불법자금을 압류하고 범죄집단으로 흘러들어가는 자금을 신속하게 차단할 수 있을 것”이라고 말했다. 이어 “한번은 북한 해킹그룹에서 무려 6,000만 달러를 탈취하려다가 저희 수사기관에서 추적해 자금 탈취를 막은 적이 있었다”며 “수사를 통해 거래소를 추적했을 때 캄보디아 국적 두 명이 용의선상에 올랐고, 거래소가 수사기관에 협력해 법원의 자금 동결 처리와 함께 두 달만에 자금을 완전히 회수했다”고 말했다. 이어 “붙잡힌 캄보디아 신분증을 가진 2명은 북한인 2명의 가짜 신분증이었다”고 설명했다.
사이버위협에 대응하기 위해 국제협력은 매우 중요하다. 특히 블록체인 시스템 상 자금 이동은 너무 신속해 국가간 신뢰를 다지고 긴밀한 관계를 구축해 두는 것은 사건 발생 시 합동 수사를 빠르게 시작하는데 있어 큰 도움이 된다. 마리아 벤더 지검장은 노르웨이와 대한민국 간 중요한 정보를 빠르게 공유할 수 있는 체계를 갖추기를 희망한다고 밝혔다.
사이버범죄가 확산되는 트렌드에 따라 사법부 소속 공무원도 블록체인이나 암호화폐에 대한 전문적인 지식을 갖추도록 노력해야 한다. 또한 전 세계 대부분의 국가 법률들은 암호화폐나 블록체인이 나오기 이전에 만들어졌기 때문에 최신 트렌드를 반영하지 못하는 만큼 법 개정을 통해 시대의 흐름을 반영하는 것도 중요하다.
마리안 벤더 지검장은 “다가올 미래에는 노르웨이와 대한민국이 더욱 굳건한 관계를 갖고 긴밀하게 협력한다면 그 효과는 2개국 이상으로 더 넓게 퍼져 나갈 것”이라며 “양국이 함께 사이버범죄에 공동으로 대응한다면 큰 결과물을 내는 것이 가능하다”며 발표를 마쳤다.
[김영명 기자(boan@boannews.com)]
사이버범죄자, 주로 ‘믹서(mixer)’와 ‘체인호핑(Chain-Hopping)’ 통해 자금 감추려 노력
국경 넘는 거래 방식, 서로 다른 접근방식·수사기법 통해 최종 ‘자금환수’까지 이뤄내야
[보안뉴스 김영명 기자] 국가정보원과 국가보안기술연구소는 ‘A Step Ahead for Global Cybersecurity-At the Beginning of the AI, Quantum and Space Era’(글로벌 사이버 보안을 위한 한 걸음-인공지능, 양자 및 우주시대의 시작)를 주제로 CSK 2024(Cyber Summit Korea 2024)를 공동 주최했다. 행사 셋째 날인 9월 12일에는 ‘Emerging Threats(떠오르는 위협)’를 소주제로 한 섹션에서 먼저 ‘해킹 산업화’에 대한 발표가 진행됐다. 이번 섹션은 고려대 정보보호대학원 김휘강 교수가 좌장을 맡아 진행했다.
[이미지=gettyimagesbank]
노르웨이 경찰청·검찰기관 외코크림(ØKOKRIM)의 마리안 벤더(Marianne Bender) 지검장은 ‘해킹 세계에서 돈의 흐름을 추적하라’라는 주제로 발표했다. 마리안 벤더 지검장은 “북한 등 국가지원을 받는 많은 해커조직의 사이버범죄 동기는 자금 확보이고, 특히 북한 외화벌이의 30%는 암호화폐 탈취로부터 얻는 것으로 추측하고 있다”고 말했다. 이어 “많은 법집행기관은 수상한 자금 추적에 대해 효과적인 방법을 논의해 왔으며, 지금 이 자리에서도 해킹 세계에서 효과적으로 자금추적을 하는 방법에 대해 이야기를 풀어보려고 한다”고 말했다.
노르웨이는 러시아와 국경을 맞닿고 있다. 우리나라와 북한이 국경을 마주하고 있는 것처럼 이웃국가의 유형이 비슷하다. 노르웨이는 2022년에 온라인 게임 회사에서 역대 최대 규모의 암호화폐 탈취 공격이 일어났고 해당 사건으로 6억 2,500만 달러(한화 약 8,282억 5,000만원)의 손실을 입었다. 이 회사는 베트남 기업의 소유였고, 공격자는 북한 해킹그룹으로 추정됐으며, 피해자에 노르웨이 사람이 일부 포함됐다.
이와 관련 마리안 벤더 지검장은 “조사에 참가한 미국 FBI는 북한 해킹조직의 숨겨진 공격임을 파악해 수사하고 있다고 발표했다”며 “저희 기관은 사건을 수사할 때 수사를 통해 무엇을 공부할 수 있는지 찾고 끊임없이 배워나가는데, 특히 이번 사건을 통해 수사 역량을 더욱 강화할 수 있었다”고 말했다. 그 이유에 대해 그는 “세계 최고 수준으로 자금세탁을 하는 북한 해킹조직과 세계 최고의 암호화폐 수사기관인 FBI가 수사에 참여해 배울 게 많았다”고 덧붙였다.
마리안 벤더 지검장은 검사인 만큼 직무에 충실하기 위해서는 기소를 하는 것이 옳지만 노르웨이에서 북한 사람을 기소할 수는 없다. 다만 해킹 사건 수사를 통해 기업이 어떤 피해를 입었고, 해커가 어떤 행동을 자행했는지 살펴보면서 이를 바탕으로 자금을 추적하고 환수하는 것을 목표로 하고 있다. 조사를 통해 지검장은 탈취한 가상자산이 빠르게 분산되고 빠르게 이동하는 것을 확인했다. 계좌를 추적해 확인한 자금 이동과 지출을 보면 계좌 소유자에게 많은 것을 배울 수 있다는 게 벤더 지검장의 설명이다. 사이버 범죄자들은 그들의 정체 노출은 두려워하지 않지만 탈취한 자금은 감추기 위해 노력한다. 특히 범죄자들은 믹서(mixer)와 체인호핑(Chain-Hopping) 수법을 주로 사용하고 있는 것.
그는 “노르웨이 수사당국이 사용하는 범죄 수사 소프트웨어는 시스템이 느리고 무겁기 때문에 문제를 빠르게 식별하고 대처하기 위한 노하우를 신속하게 찾는다”며 “이런 자금 탈취 관련 사건을 포착했을 때 거래건수가 많다면 수사는 더욱 힘들어지는데, 이에 따라 시스템의 매뉴얼화와 함께 자동화의 필요성이 중요해지고 있다”고 말했다. 이어 “빠른 자금 세탁을 추적하기 위해서는 이상거래가 발생하기 전부터 모니터링을 하면서 자금 이동을 예측하고 대응해야 한다”면서도 “하지만 소프트웨어에 한계가 있는 만큼 이에 걸맞은 기술과 전문적인 인력을 모으는 것이 필수”라고 강조했다.
▲노르웨이 외코크림의 마리안 벤더 지검장이 ‘해킹 세계에서 돈의 흐름을 추적하라’는 주제로 발표했다[사진=보안뉴스]
블록체인이나 암호화폐는 국경을 넘나들며 전세계적인 거래가 이뤄지며, 수사를 통해 전 세계 어디라도 추적이 가능하다. 노르웨이와 대한민국은 같은 블록체인을 추적하고 수사하기도 하는데, 이러한 경우에는 국가간 협력으로 큰 시너지 효과를 낼 수 있다. 양국에 24시간 깨어 있는 법집행기관이 범죄행위에 대한 서로 다른 접근방식과 수사기법으로 조사를 하면 시너지를 낼 수 있다는 설명이다. 하지만 법집행기관은 수사의 최종 목표는 ‘자금환수’에 두어야 한다.
반대로 사이버 범죄자들의 최종 목표는 탈취한 암호화폐를 실제 화폐로 환전하는데 두고 있다. 환전소에 자금 환전 요청이 들어오면 환전소는 암호화폐의 실제 주인에게 통보해야 하고, 이를 위해서는 브로커를 추적하는 것이 필요하다. 수사당국의 이러한 노력에 일부 환전소는 협력하지만, 북한 등 일부 사이버 범죄국가의 주된 환전을 맡는 중국 소재 OTC(Over the Counter, 장외거래)는 수사당국에 잘 협조하지 않는다는 게 문제다.
벤더 지검장은 “여러 국가들이 힘을 모아 불법 거래소에 압박을 가하면 더 많은 불법자금을 압류하고 범죄집단으로 흘러들어가는 자금을 신속하게 차단할 수 있을 것”이라고 말했다. 이어 “한번은 북한 해킹그룹에서 무려 6,000만 달러를 탈취하려다가 저희 수사기관에서 추적해 자금 탈취를 막은 적이 있었다”며 “수사를 통해 거래소를 추적했을 때 캄보디아 국적 두 명이 용의선상에 올랐고, 거래소가 수사기관에 협력해 법원의 자금 동결 처리와 함께 두 달만에 자금을 완전히 회수했다”고 말했다. 이어 “붙잡힌 캄보디아 신분증을 가진 2명은 북한인 2명의 가짜 신분증이었다”고 설명했다.
사이버위협에 대응하기 위해 국제협력은 매우 중요하다. 특히 블록체인 시스템 상 자금 이동은 너무 신속해 국가간 신뢰를 다지고 긴밀한 관계를 구축해 두는 것은 사건 발생 시 합동 수사를 빠르게 시작하는데 있어 큰 도움이 된다. 마리아 벤더 지검장은 노르웨이와 대한민국 간 중요한 정보를 빠르게 공유할 수 있는 체계를 갖추기를 희망한다고 밝혔다.
사이버범죄가 확산되는 트렌드에 따라 사법부 소속 공무원도 블록체인이나 암호화폐에 대한 전문적인 지식을 갖추도록 노력해야 한다. 또한 전 세계 대부분의 국가 법률들은 암호화폐나 블록체인이 나오기 이전에 만들어졌기 때문에 최신 트렌드를 반영하지 못하는 만큼 법 개정을 통해 시대의 흐름을 반영하는 것도 중요하다.
마리안 벤더 지검장은 “다가올 미래에는 노르웨이와 대한민국이 더욱 굳건한 관계를 갖고 긴밀하게 협력한다면 그 효과는 2개국 이상으로 더 넓게 퍼져 나갈 것”이라며 “양국이 함께 사이버범죄에 공동으로 대응한다면 큰 결과물을 내는 것이 가능하다”며 발표를 마쳤다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
