앵커 : 가상자산 탈취에 몰두하고 있는 북한의 해킹 조직들이 최근 탈중앙화 금융 및 일종의 가상자산 전송 수단인 '크로스체인 브리지'에 대한 공격에 집중하고 있다는 분석이 나왔습니다. 서울에서 목용재 기자가 보도합니다.
북한 해킹 조직들이 보유하고 있는 가상자산의 유동성을 확보하기 위해 탈중앙화 금융(Decentralized finance, De-Fi), 즉 ‘디파이 프로토콜’과 일종의 가상자산 전송 수단을 의미하는 ‘크로스체인 브리지’에 대한 해킹 시도를 최근 늘리고 있다는 분석이 제기됐습니다.
현재 국제사회는 유엔 안전보장이사회의 강력한 대북제재를 통해 북한의 자금줄을 막고 있습니다. 이런 상황에서 북한으로서는 핵과 장거리 탄도미사일, 위성 등을 개발하기 위한 자금의 유동성 확보에 적극 나서고 있다는 분석입니다.
에린 플랜트(Erin Plante) 체이널리시스 조사총괄 부사장은 6일 자유아시아방송(RFA)과의 서면 인터뷰를 통해 이같이 밝히면서 북한 해킹조직이 지난 2022년 탈취한 17억 달러 가운데 11억 달러가 디파이 프로토콜 해킹을 통한 사례라고 말했습니다.
또한 크로스체인 브리지에 대한 북한의 해킹도 증가하는 추세라고 밝혔습니다. 일반적으로 서로 다른 가상자산은 상호작용이 제한적이나 크로스체인 브리지는 이를 가능하게 합니다. 즉, 가상자산의 활용 확장성을 넓힐 수 있다는 겁니다.
플랜트 부사장은 “북한 해커들은 믹서 외에도 중앙화 거래소에 상장되지 않은 비유동성 토큰을 대량으로 확보하는 경우가 많다”며 “탈취한 토큰의 대부분을 다른 디파이 프로토콜로 이동시키는 양상을 보여주고 있다”고 밝혔습니다.
북한 해커가 탈취한 가상자산을 세탁이 아닌 유동성을 확보하기 위한 목적으로 이 같은 과정을 진행하고 있다는 설명입니다.
플랜트 부사장은 북한이 탈취한 가상자산을 최종적으로 아시아 기반의 거래소에 예치하는 경향성을 보이고 있다고 분석했습니다. 이는 북한 해커들이 고객 신원 확인 요건이 없거나 허술한 거래소, 혹은 불법 가상자산 이동을 전문으로 하는 장외 거래 브로커를 찾기 위함이라는 설명입니다.
북한이 가상자산 탈취를 위해 주로 해킹을 시도하는 표적에 대해서는 경제활동이 활발한 국가라고 강조했습니다. 여기에 베트남(윁남)이나 싱가포르 등과 같이 경제가 성장하고 있는 국가들이 포함된다는 겁니다.
베트남은 ‘체이널리시스 2022 글로벌 가상자산 도입 지수’에서 1위를 기록한 바 있고 액시 인피니티(Axie Infinity)의 개발사인 스카이 마비스(Sky Mavis) 본사가 있는 국가이기도 합니다. 북한은 지난 2022년 3월 액시 인피니티의 로닌 네트워크를 해킹해 6억 달러 이상의 금액을 탈취한 바 있습니다.
플랜트 부사장은 “북한 해커들은 높은 수익성을 가진 표적을 공격하는 경향을 보이기 때문에 국가와 위치에 영향을 받지 않는다”며 “다만 북한이 중국과 러시아 내 가상자산을 탈취한 사례는 현재까지 확인된 바 없다”고 말했습니다.
북한이 탈취한 가상자산의 규모에 대해서는 지난 2018년부터 현재까지 연평균 2억 달러에 이르는 것으로 추정했습니다. 특히 지난해의 경우 북한이 약 17억 달러에 이르는 사상 최대 규모의 가상자산을 탈취했다고 강조했습니다.
체이널리시스가 ‘2022년 가상자산 범죄 보고서’를 통해 공개한 북한의 세탁하지 않은 자금 1억 7000만 달러에 대해서는 “사법 당국의 관심이 잠잠해질 때를 노려 현금화하려는 것”이라고 추정했습니다.
앞서 체이널리시스는 해당 보고서를 통해 지난 2017년부터 2021년까지 북한이 연루된 49건의 해킹 사건에서 1억 7000만 달러에 달하는 미세탁 도난 자금을 포착한 바 있습니다.
플랜트 부사장은 “북한 해커가 왜 해당 자금을 세탁하지 않고 보유 중인지 알 수 없다”며 “이와 관련해 확보한 최신 정보는 없다”고 밝혔습니다.
플랜트 부사장은 다양한 북한의 해킹 조직들 가운데 라자루스 그룹의 해킹과 자금 세탁 능력에 대해 능숙하다고 평가했습니다. 이들은 자금을 탈취하기 위해 피싱, 악성 프로그램, 수준 높은 소셜 엔지니어링 기법 등을 활용한다고 말했습니다.
플랜트 부사장은 “라자루스 그룹은 이미 제재를 받은 토네이도 캐시와 같은 믹싱 서비스를 사용해 입출금하는 가상자산을 혼합하고 단일 거래에서 여러 종류의 가상자산을 교환하는 과정인 ‘체인호핑’과 같은 난독화 기술을 사용한다”고 평가했습니다.
다만 플랜트 부사장은 시간이 경과할수록 북한이 빼낼 수 있는 가상자산은 크게 줄어들 것으로 관측했습니다.
지난해 액시 인피니티의 로닌 브릿지 해킹 사건 당시 3000만 달러 상당의 가상자산이 회수된 바 있고 올해 초에는 한미 당국이 합동작전을 통해 미 가상화폐 업체 하모니에서 탈취된 1억 달러 가운데 일부인 100만 달러를 압수, 동결시키는 등의 성과를 이뤘기 때문입니다.
플랜트 부사장은 “블록체인이라는 고유한 투명성으로 앞으로 이와 유사한 사례가 더 많이 나올 것으로 기대한다”며 “법 집행기관은 사건 발생 이후 몇 십 년이 지나도 범죄자를 추적할 수 있고 개선되는 수사 기법에 따라 북한의 가상자산 해킹은 해가 갈수록 성공하기 어려워질 것”이라고 강조했습니다.
한편, 블록체인 추적 업체인 ‘TRM랩스’는 북한 해커들이 올해 훔친 암호화폐의 규모가 2억 달러라고 분석했습니다. 미국 CNBC방송은 5일 이 업체의 보고서를 인용해, 북한 연계 해커들이 올해 1월부터 8월 중순까지 탈취한 암호화폐의 규모가 2억 달러라면서, 이는 올해 도난 당한 모든 암호화폐의 20% 이상이라고 덧붙였습니다.
에디터 양성원, 웹팀 김상일