북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
작년 한 해 북한 연계 사이버 공격 패턴이 크게 변했다. 체이널리시스가 발간한 ‘2024 가상자산 범죄 보고서-도난 자금 파트’에 따르면 2016년부터 대부분을 차지한 거래소 공격은 2021년부터 점차 줄어들었고, 2022년에 급격히 늘어난 디파이 공격도 2023년 들어 약간 주춤한 상태를 보였다. 가상자산 탈취 규모, 눈에 띄게 감소결과적으로 북한 연계 사이버 공격의 시도는 증가했지만 탈취된 가상자산 규모는 눈에 띄게 감소했다. 이러한 추세는 가상자산 플랫폼이 채택한 보안 조치 강화에 따른 것으로 풀이되며, 향후 이러한 방어를 뚫으려는 사이버 범죄자와의 줄다리기가 계속될 것으로 예상된다.

북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
특히 라자루스 그룹, 김수키와 같은 북한의 사이버 간첩 그룹은 수년간 지속적으로 진화하는 가상자산 보안 환경에 적응하고 자신의 해킹 수법을 발전시켜 왔다.

2022년에는 북한 연계 해킹으로 탈취된 가상자산 규모가 역대 최고치인 17억 달러(약 2조3000억원)에 육박했다. 2023년에는 역대 최다인 20건의 공격을 자행하며 가장 활발한 해킹 활동을 보였지만 탈취된 가상자산 규모는 전년 대비 약 41% 감소한 10억 달러(약 1조3000억원)에 그쳤다.

역대 최다를 경신한 공격 횟수와 달리 급감한 탈취 가상자산 규모는 사이버 범죄자의 전략 변화를 드러낸다. 즉 범죄자는 추적을 피하고 공격 성공률을 높이기 위해 더 넓은 범위의 표적으로 공격이 확산되고 있음을 시사한다.
북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
2023년 북한 연계 해킹 피해를 입은 가상자산 서비스 유형을 살펴보면 북한의 전술적 전환이 두드러진다. 약 4억2880만 달러(약 5800억원)는 디파이에서, 3억3090만 달러(약 4500억원)는 거래소, 나머지는 중앙화 서비스, 지갑에서 탈취했다.

이러한 다양한 접근 방식은 북한 연계 해커의 적응력을 보여줄 뿐만 아니라 디파이 프로토콜의 강력한 보안 조치, 활동 감소 등 가상자산 생태계의 트렌드가 반영된다는 점을 보여준다.

2023년 6월에 발생한 아토믹 월렛(Atomic Wallet) 취약점 공격은 점차 정교해지는 북한 연계 사이버 공격을 보여주는 사례다. 이는 북한 연계 해킹 그룹 트레이더트레이터(TraderTraitor)가 주도한 사건으로 1억2900만 달러(약 1700억원)로 추정되는 막대한 손실이 발생했다. 아토믹 월렛 사건은 도난 규모도 중요하지만 탈취 자금을 은폐하고 세탁하기 위해 사용한 전략, 치밀한 계획, 지식이 드러난다는 점에서 큰 의미를 지닌다.

아토믹 월렛은 사용자가 개인 키를 제어할 수 있기 때문에 선호되는 비수탁형 가상자산 서비스다. 고로 아토믹 월렛 사건은 가장 안전한 디지털 지갑에도 심각한 취약점이 있다는 것을 보여준다. 해당 사건은 도난으로 시작해 여러 단계에 걸친 복잡한 세탁 작업으로 이어지는 체계적인 방법에 따라 실행됐다.
북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
공격자는 훔친 자금의 추적을 복잡하게 하기 위해 여러 블록체인을 통해 자산을 전송하는 ‘체인 호핑(chain-hopping)’을 이용했다. 불법 자산은 중앙화 거래소로 이동해 비트코인으로 전환됐으며 세탁 과정을 용이하게 하기 위해 기존 가상자산 인프라를 전략적으로 사용했다. 그 후 해당 자금은 크로스체인 브리지와 랩드 이더리움(wETH) 계약을 통해 아발란체 브리지를 통해 비트코인 블록체인에 도달했다.

북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
다음 단계에서는 믹싱 서비스인 신바드(Sinbad)가 사용돼 세탁 작업의 복잡성을 증폭시켰다. 이 서비스는 훔친 자금의 출처를 숨기고 다른 거래와 혼합해 유출과의 직접적인 연결 고리를 모호하게 만드는 데 중추적인 역할을 한다. 세탁된 자금은 비트코인 블록체인에 모인 후 전략적으로 트론(Tron) 블록체인으로 옮겨졌는데, 이는 서로 다른 블록체인의 고유 속성을 활용해 자금의 난독화를 극대화하려는 세심한 계획이 있었음을 알 수 있는 대목이다.

북한의 가상자산 해킹 공격 어떻게 이뤄지나[비트코인 A to Z]
자금 세탁의 마지막 단계는 트론 생태계 내의 다양한 서비스에 자금을 분산하는 것이었다. 이러한 자금 중 일부는 트론의 저스트래퍼 개인정보보호 풀(JustWrapper Shielded Pool)을 활용해 트론 네트워크 전체에 분산되고 장외거래(OTC)와 관련된 주소로 전송됐다. 이는 도난당한 자금의 추가 혼합을 용이하게 하고 법정화폐 또는 다른 가상자산으로의 전환을 준비해 감시의 눈을 피한 자금 세탁을 가능케 했다. 가상자산, 사이버 위협과의 전쟁
이 사건 이후에는 알파포(Alphapo)와 코인스페이드(Coinspaid)를 노린 유사한 공격이 이어지는 등 가상자산 업계에서 일어나는 사이버 위협과의 전쟁은 계속되고 있음을 생생하게 보여줬다.

아토믹 월렛 사건은 보안 정책의 끊임없는 혁신, 추적과 분석을 위한 첨단기술 도입의 필요성을 강조한다. 또한 이 사건은 가상자산 생태계에서 가상자산 플랫폼, 규제 기관, 사이버보안 전문가 간의 협력을 촉구하며 업계에 경종을 울리는 계기가 됐다.

북한 연계 해킹에 대한 과제를 해결함에 있어 가상자산 커뮤니티는 현재의 취약점에 대응할 뿐만 아니라 미래의 취약점도 예측해 차세대 디지털 금융을 위한 안전하고 탄력적인 인프라를 보장해야 한다.

백용기 체이널리시스 한국 지사장