앵커: 북한의 해킹 그룹이 암호화폐 개발자들을 대상으로 또 다시 정교한 사이버 공격을 감행한 것으로 나타났습니다. 김소영 기자가 보도합니다.
암호화폐 관련 데이터 탈취
사이버 보안업체 소켓(Socket)이 최근 공개한 보고서에 따르면 북한 해킹 그룹, 라자루스는 오픈소스 소프트웨어 저장소인 npm을 악용해 개발자를 대상으로 암호화폐 관련 데이터를 탈취했습니다.
라자루스 그룹은 악성 프로그램이 숨겨진 6개의 npm 패키지를 배포했습니다 .
이 패키지는 악성코드를 통해 개발자의 컴퓨터에 몰래 설치되도록 했고, 백도어 설치로 지속적으로 시스템을 감염 상태로 유지시켰습니다.
또 이를 통해 암호화폐 지갑 파일과 로그인 정보 등 중요 정보를 탈취했습니다.
이 악성코드는 여러 단계에 걸쳐 실행되며, 감염된 시스템에서 지속적으로 데이터를 빼돌릴 수 있도록 설계된 것이 특징입니다.
또 정상적인 소프트웨어처럼 위장돼 있어 개발자들이 의심 없이 설치하도록 유도됐는데요.
관련기사
구글 “북 해커, AI 활용 주한미군 작전 정보 탐색”
라자루스 그룹은 인기 있는 개발 도구처럼 보이도록 이름을 유사하게 만들어 배포하거나 악성 코드 난독화로 코드 분석을 어렵게 만들어 탐지를 회피하고, 한 번 감염되면 추가 악성코드를 계속 다운로드 받도록 하는 방식으로 해킹 공격을 실행했습니다.
암호화폐 지갑 집중 탈취
소켓 측은 이 악성 파일이 현재까지 330회 이상 내려받아진(다운로드) 것으로 파악하고 있습니다.
라자루스 그룹의 이번 공격은 특히 암호화폐 지갑을 집중적으로 노렸습니다.
이들은 최근 수년간 암호화폐 거래소를 해킹하거나, 탈중앙화 금융(DeFi) 시스템을 이용해 자금을 세탁하는 등 암호화폐 산업을 향한 고도화된 위협을 가하고 있습니다.
지난 2월 보고서에 따르면, 올해 암호화폐 해킹으로 인한 손실이 20배 급증했으며, 특히 중앙화 거래소(CeFi)에서 피해가 집중됐습니다.
특히 최근 바이비트(Bybit) 거래소는 라자루스 그룹에 의해 약 15억 달러를 도난당해 역대 최대 규모의 해킹 피해를 입었습니다.
도난당한 자산의 20%는 이미 암호화폐 믹싱 서비스를 통해 추적이 불가능한 상태이며, 현재 77%의 자산은 여전히 추적 가능하지만 자금 세탁으로 인해 회수 작업이 어려워지고 있는 실정입니다.
블록체인 분석 업체인 체이널리시스(Chainalysis)의 앤드류 피어맨(Andrew Fierman) 국가안보정보 소장은 최근 자유아시아방송(RFA)과의 인터뷰에서 현금화되지 않은 탈취 자산에 대한 회수 작업에 착수했다고 밝혔습니다.
[피어맨 소장] 우리의 최우선 목표는 탈취된 자금의 흐름을 추적하고, 업계 전반 및 법 집행 기관과 협력해 최대한 많은 자금을 동결하는 것입니다. 해킹 사건이 발표되자마자 우리는 즉시 자금 추적을 시작했습니다.
보고서는 라자루스 그룹이 과거 거래소 해킹에서 이제는 개발자 환경 침투로 전략을 바꾸고 있다며, 블록체인 프로젝트의 핵심 인프라를 담당하는 개발자는 해커들에게 매우 매력적인 목표가 될 수밖에 없다고 강조했습니다.
그러면서 npm 패키지 설치 전 신뢰성을 확인하고, 암호화폐 지갑 및 로그인 정보에 대한 이중 보안을 설정할 것과 백도어 감염 여부를 정기적으로 검사할 것을 당부했습니다.
에디터 박정우