가상 자산 분석 기업과 국제 사업 기관의 공조…5단계 세탁 과정을 면밀히 추적

북한이 해킹한 가상 자산 431억원 회수 스토리[비트코인 A to Z]
최근 가상 자산업계에서 ‘크로스체인 브리지’ 해킹 사례가 연이어 발생하고 있다. 피해 금액 중 라자루스 그룹(Lazarus Group)과 같은 북한 해킹 단체들이 탈취한 가상 자산만 해도 현재까지 약 10억 달러(약 1조4355억원)로 추정된다.

엑시 인피니티(Axie Infinity)에 이어 하모니(Harmony), 노마드(Nomad)까지 최근 크로스체인 브리지에서 유독 해킹 피해가 이어지는 이유는 무엇일까.
연이어 발생한 ‘크로스체인 브리지 해킹’브리지(bridge)는 서로 다른 블록체인 플랫폼 간 자산 이동을 돕는 기술이다. 탈중앙화 금융(DeFi·디파이) 내 유동성을 높여주기 때문에 필수적으로 쓰인다.

브리지는 많은 자금이 몰리는 만큼 해킹의 표적이 되고 있다. 자금 유동성이 큰 만큼 잇단 해킹으로 피해 금액이 늘어나고 있다. 그중 역대 최대 규모의 해킹 사건 중 하나인 ‘로닌 네트워크’ 사태 역시 라자루스의 소행으로 무려 6억 달러(약 8613억원) 상당의 가상 자산을 빼돌렸다. 블록체인 모바일 게임 ‘엑시 인피니티’를 구동하는 로닌 네트워크는 올해 3월 해킹 피해를 봤다.

다행히도 최근 라자루스가 엑시 인피니티에서 훔친 3000만 달러(약 431억원) 이상의 가상 자산을 회수했다는 소식이 들려왔다. 이는 가상 자산 분석 기업인 체이널리시스와 국제 사법 기관의 협력을 통해 이룬 결과다.

체이널리시스는 첨단 기술을 활용해 훔친 자금의 현금화 시도를 추적하고 사법 기관, 업계 관계자들과 실시간으로 소통하며 자금을 신속하게 동결하는 데 기여했다.
북한이 해킹한 가상 자산 431억원 회수 스토리[비트코인 A to Z]
북한 연계 해커들은 총 다섯 단계에 걸쳐 암호화폐를 탈취하고 세탁해 보유 자산으로 전환한다. 다섯 단계는 △탈취한 이더리움 취합 △취합된 이더리움을 쪼개 흔적 없애기(믹서) △쪼개진 이더리움을 비트코인으로 각개 교환 △각개로 교환된 비트코인을 일괄적으로 혼합 △암호화폐-현금 전환 서비스를 통한 인출로 구성된다.

자금 추적은 아래와 같은 방식으로 진행됐다.

엑시 인피니티의 크로스 체인 브릿리인 로닌 네트워크는 9개의 거래 검증자 중 5개 이상의 승인을 받아야 거래가 완료되는 구조다. 라자루스는 이 중 5개의 검증자를 해킹한 이후 두 번의 거래를 승인해 각각 17만 3600개의 이더(ETH), 2550만 개의 USD 코인(USDC)이 인출됐다.

인출 후 라자루스는 훔친 가상 자산을 숨기기 위해 1만2000여 개의 가상 계좌를 이용하는 등 치밀하게 자금 세탁을 시작했다. 라자루스는 우선 훔친 가상 자산을 이더리움 환전용 지갑으로 보낸 후 토네이도 캐시를 통해 믹싱했다. 믹싱은 가상 자산을 섞거나 쪼개 자금 흐름을 추적하기 어렵게 만드는 작업이다.

라자루스 조직은 이렇게 섞은 이더리움을 비트코인으로 환전하고 다시 한 번 비트코인을 믹싱했다. 비트코인을 현금화할 준비가 되면 자금 세탁은 끝이 난다. 로닌 네트워크에서 해킹한 자금의 상당 부분도 이와 동일한 방법으로 자금 세탁을 마쳤다. 체이널리시스가 제공하는 리액터(reactor)로 위에서 언급한 자금 세탁 과정을 다음과 같이 시각화할 수 있다.

최근 미국 재무부 해외자산통제국(OFAC)은 4억5500만 달러(약 6526억원) 상당의 엑시 인피니티 도난 자금 세탁에 연루된 토네이도 캐시를 제재했다.

라자루스는 제재 이후 ‘체인 호핑(chain hopping)’을 통한 단 1건의 거래를 통해 도난 자금을 여러 종류의 가상 자산으로 분산했다. 체인 호핑은 자금 추적을 피하기 위해 한 가상 자산을 다른 가상 자산으로 전환하는 행위를 말한다. 브리지는 체인 간 디지털 자산을 이동하는 중요한 기능을 하며 대부분의 플랫폼에서 합법이기 때문에 라자루스는 자금 출처를 감추기 위해 이를 사용하고 있는 것으로 보인다.가상 자산 고유의 투명성이 해결 이유
북한이 해킹한 가상 자산 431억원 회수 스토리[비트코인 A to Z]
위 그림은 체이널리시스 스토리라인(storyline)을 통해 구현한 라자루스의 도난 자금 세탁을 위한 체인 호핑 정황이다. 이러한 자금 추적은 가상 자산 고유의 투명성을 통해 가능하다.

가상 자산의 투명성은 엑시 인피니티와 같은 크로스체인 브리지 해킹을 수사하는 데 중요하다. 이번 자금 회수 사례는 앞으로 사이버 범죄자들이 불법으로 취득한 가상 자산을 현금화하는 일이 점차 어려워질 것을 방증한다.

앞선 사례와 같이 블록체인 분석 툴을 통해 민관이 협력한다면 정교한 해킹 공격이나 가상 자산 자금 세탁도 막을 수 있다는 것이 입증됐다. 피해 금액 전부를 회수하지는 못했지만 북한 해킹 단체가 탈취한 가상 자산이 회수된 것은 이번이 처음이다. 향후 더 많은 사례가 등장할 것으로 확신하며 더 안전한 가상 자산 생태계를 만들기 위한 공공·민간 부문의 협력과 노력은 계속될 것이다.

백용기 체이널리시스 한국 지사장