앵커 : '북한의 사이버위협'은 두더지게임과 비슷합니다. 망치로 머리를 계속 내리쳐도, 이곳저곳에서 계속 해킹시도는 멈추지 않기 때문입니다. 자유아시아방송은'북한 사이버 위협'을 세편으로 나눠 보도합니다. 두 번째 보도에서는 북한 해커들의 암호화폐 탈취 활동에 대해 박재우 기자가 알아봤습니다.
[손버그 변호사] 우리는 해킹 피해자들로부터 매일 전화를 받고 있습니다. 그들은 충격을 받았습니다. 피해자들은 대부분 그들이 모은 모든 것을 잃었습니다.
피해자를 대표해 미국 콜로라도 지방법원에 콘스탄틴 글래디치 아토믹 월렛 최고경영자를 대상으로 손해배상 소송을 제기한 대니얼 손버그 에이더블유케이오 로펌(awkolaw) 변호사는 최근 (6월 14일) 자유아시아방송(RFA)과 인터뷰에서 아토믹 월렛 해킹 피해자들이 현재 참담한 상황에 처해 있다고 말했습니다.
아토믹 월렛은 바이낸스나 코인베이스와 같은, 온라인에서 행해지는 에스토니아 기반의 주요 암호화폐 지갑 서비스입니다.
코네티컷에서 IT 분야에서 일하고 있는 로버트 메니씨는 6월 초 아토믹 월렛의 계정을 열어보고 깜짝 놀랐다고 지난달 27일 자유아시아방송에 전했습니다.
[메니씨] 제가 계정을 열었을 때 잔금이 텅 비어서 매우 놀랐습니다. 돈이 그 안에 있었는데, 사라졌고 제가 가진 금액이 0이라는 수치로 떨어졌습니다. 처음에는 믿을 수 없었습니다. 많은 좌절과 분노가 있었습니다.
메니씨는 약 4만달러를 암호화폐에 투자했고 안전하다고 알려진 아토믹 월렛 계정에 전부 보유하고 있었습니다.
그는 아토믹월렛의 가장 최근 버전의 보안패치를 다운받았고 아마 그 패치를 통해 해킹을 당한 것으로 추정됩니다.
자신의 피해를 공개적으로 밝히는 이유에 대해서는 이렇게 말했습니다.
[메니씨] 내 돈이 김정은 정권에 자금을 지원할 가능성이 있다는 소식에 기분이 좋지 않았습니다. 국가가 이 해킹의 배후에 있다는 것에 화가 납니다. 세상에는 탐욕스러운 개인이 많지만, 한 국가가 그렇게 할 때, 다른 나라 사람들을 공격했다는 것에 말이다. 내 생각에는 (이 행위가) 전쟁이나 마찬가지이기 때문입니다.
손버그 변호사는 현재 소송은 메니씨를 포함한 2명을 대표해 제출됐지만, 곧 15명으로 늘어날 거라고 말했습니다.
피해자들 중에는 은퇴한 퇴역 군인, 소방수, 교사 등 평범한 사람들이 포함돼 있었고, 이들의 투자 피해금은 500만 달러가 넘습니다.
앞서 지난 6월 초문자기반 사회소통 창구인트위터에서 아토믹 월렛 피해자들이 자신들의 암호화폐가 사라졌다고 공개했고, 며칠 뒤 (6월 3일) 아토믹 월렛은 트위터를 통해 해킹을 당한 사실을 시인했습니다.
블록체인 분석업체 엘립틱(Elliptic)은 6월 13일 보고서를 내고 아토믹 월렛 해킹의 피해 규모가 약 1억달러에 달한다고 밝혔고 해킹 공격이 북한 해킹 조직'라자루스'의 소행이라고 판단했습니다.
라자루스는 북한의 대표적인 해킹 조직으로 지난 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 유포 사건 등에 연루돼 있는 것으로 알려져 있습니다.
‘라자루스’란 이름은 성경 속 죽음에서 부활한 인물 나자로에서 따온 이름으로 사이버 안보 공동체에서 ‘죽여도 죽여도 계속 살아난다’는 의미에서 지어졌습니다.
손버그 변호사도 북한 소행일 가능성이 높다고 전했습니다.
[손버그 변호사] 엘립틱은 강력한 증거를 가지고 있는 것 같습니다. 그들은해커를 추적하기 위해리액터 소프트웨어라고 불리는 소프트웨어를 사용하고 있는 것 같은데 저는 이 프로그램을 신뢰합니다.
아토믹 월렛은 이번 해킹이 북한과 연관된 것으로 보느냐는 자유아시아방송의 문의에 (6월 10일 기준) “현재 내부 조사가 진행 중인 사항”이라며 답변을 하지 않았습니다.
현재 북한은 대량살상무기(WMD) 개발 자금을 마련하기 위해 사이버 해킹 인력을 동원해 암호화폐 탈취에 집중하고 있습니다.
앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 담당 부보좌관은 지난 5월 워싱턴의 비영리재단인 ‘특수경쟁연구프로젝트(SCSP)’가 주최한 대담에서“북한이 암호화폐 탈취와 사이버 공격을 통해 미사일 프로그램 자금의 절반을 조달하고 있는 것으로 추정하고 있다”고 말했습니다.
북한이 암호화폐 탈취를 통해 얻어낸 추정 금액도 계속 늘어나고 있습니다.
블록체인 분석기업인 체이널리시스(Chainalysis)가 지난 2월 발간한 '암호화폐 탈취 보고서'에 따르면 2016년에 200만 달러에 불과했던 북한 해킹 공격 탈취 금액이 2018년에 5억 2천만달러를 기록했고, 2022년에는 약 17억 달러에 달했습니다.
유엔 안보리 산하 대북제재위원회도 지난 4월 공개한 전문가단 보고서에 '북한 정부와 연계된 해커 조직들이 지난해 사상 최대 규모의 가상화폐 자산을 훔쳐 핵무기 개발 자금을 충당한 것으로 보인다'고 밝혔습니다.
특히 전문가단은 북한이 지난해 해킹 등으로 갈취한 가상화폐 규모가 최소 6억3천만 달러에서 10억 달러 이상일 것으로 추정했습니다.
전문가단 보고서에 따르면 이 중 가장 큰 암호화폐 탈취 사건은 미국 재무부가 북한 ‘라자루스’의 소행이라고 밝힌‘엑시 인피니티’사건입니다.
북한 라자루스 그룹은 지난해 블록체인 비디오 게임 ‘엑시 인피니티’와 블록체인 기술 기업 ‘하모니의 호라이즌 브리지’를 해킹 해 약 7억달러의 암호화폐를 훔친 것으로 파악됩니다.
[정 박 국무부 대북정책특별부대표] 2022년에 온라인 게임 '엑시 인피니티(Ax Infinity)'와 연결된 블록체인 프로젝트에서6억 2천만 달러 암호화폐 탈취를 목격했습니다. 이달 초, 우리는 북한이 아토믹 월렛 사용자들로부터 1억 달러의 가상 자산을 훔쳤을 가능성이 있다는 것도 봤구요.
지난해 ‘엑시 인피니티’해킹 사태 이후 올해에도 북한이 배후로 추정되는 대규모 암호화폐 탈취 사건‘아토믹 월렛’해킹 사건이 발생한 것입니다.
국제사회의 경고와 암호화폐 회사들의 보안 강화 이후 북한 해킹 조직의 해킹 방식은 계속 발전하고 변화하고 있습니다.
미국 민간연구기관인CRDF 글로벌(CRDF Global)의 레이첼 백(Rachel Paik) 연구원은 최근 (6월 18일) 자유아시아방송과 인터뷰에서 북한 해킹 조직들이 상황에 따라 전략을 바꾸고 있다고 설명했습니다.
[백 연구원] 지난해에 발생한 액시인피니티 해킹과 이번 아토믹 월렛 해킹은 다릅니다. 이번 해킹이 두 가지 방법으로 전략이 전환됐다고 생각합니다. 먼저 브리지 프로토콜(한 블록체인 생태계에서 다른 블록체인 생태계로 자산과 데이터를 쉽게 전송할 수 있는 플랫폼)에서 월렛, 즉 코인을 보관하는 사용자 지갑으로 전환하고 있습니다. 그 다음에 돈세탁 방법도 암호화폐를 쪼개고 섞어서 누가 송금했는지 알 수 없도록 만드는 기술인암호화폐 믹서 서비스에서 온라인 암시장 다크넷 거래소로 옮겨가고 있습니다.
전문가들은 암호화폐 탈취 방식은 그간 북한에게 매우 효과적이었다고 말합니다.
미국 캘리포니아주에 위치한 국제컴퓨터과학기관(ICSI)의 니콜라스 위버(Nicholas Weaver) 선임연구원은 최근 (6월 27일) 암호화폐 탈취는 비용적으로나 물리적으로나 북한에겐 이점이 있었다고 설명했습니다.
[위버 연구원]누군가가 당신의 현금을 훔치기 위해서는 그 현장에 있어야 하지만, 암호화폐 탈취는 현장에 누군가 없어도 된다는 독특한 특성을 가지고 있습니다. 만약 당신이 1만 개의 침대 밑에서 현금을 훔치려면, 당신은 1만 개의 집에 침입해야 합니다. 물리적으로 사람이 필요합니다. 그러나 암호화폐와 관련해서는 서버에 접근할 수 있는(호스팅) 컴퓨터에 접속하기만 하면 바로 훔칠 수 있습니다. 저는 북한이 이것이 가능하다는 것을 언제 깨달았는지는 모르겠지만, 그들은 모든 범죄를 아주 능숙하게 저지르고 있고, 이것은 자연스러운 확장으로 보입니다.
북한 해킹그룹은 가상화폐 탈취 뒤 자금을 세탁하고 현금화하기 위해 ‘믹서’서비스를 활용해 왔습니다.
‘믹서’란 암호화폐를 쪼개고 섞어서 누가 송금했는지 알 수 없도록 만드는 기술로, 이 과정을 반복하면 자금 추적 및 사용처, 현금화 여부 등 암호화폐 거래 추적을 어렵게 해 자금세탁 방법으로 활용되고 있습니다.
[백 연구원] 믹싱 서비스는 암호화폐를 변환하고, 주소를 변환하고, 때로는 다른 종류의 코인으로 변환할 수 있는 서비스입니다. 하지만 그들의 목적은 코인을 보내는 사람의 신원을 보호하는 것입니다. 예를 들어, 제가 이더리움을 가지고 있다면, 저는 이더리움 믹서에 가서 믹싱 서비스에 약간의 수수료를 지불하고, 믹서 서비스는 제 암호화폐를 가져가서 다른 사용자 암호화폐와 섞을 것이고, 그것이 주소를 모호하게 만들 것입니다. 그래서 블록체인에서 주소는 제가 처음에 입력한 주소와 다르게 됩니다. 그래서 이것은 제 신분을 보호하는 데 도움이 됩니다. 여러분은 그 돈이 어디서 왔는지, 혹은 그 돈이 더 이상 같은 접근 경로를 따르지 않기 때문에 필요할 때 누가 손을 바꾸었는지 알 수 없게 됩니다.
백 연구원은 특히 최근에 북한 해킹조직들은 미국의 제재 명단에 오른 러시아 기반의 다크넷 즉 온라인 암시장에서 자금 세탁을 하는 정황이 발견돼 이를 회수하기가 더 어려워졌다는 말도 덧붙였습니다.
이 때문에 북한으로부터의 피해자들의 손실 회복은 사실상 어려워 보입니다.
[다니엘] 고객들이 처음에는 이걸 복구할 수 있을까 생각했습니다. 그러나 북한의 라자루스 그룹이 해킹에 연루됐다는 사실을 들었을 때 그들의 마음속에서 회복의 희망은 확실히 사라졌습니다. 그리고 그때부터 절망감이 싹트기 시작했습니다. 북한으로부터 해킹을 당했다면 뉴욕의 범죄조직으로부터 해킹을 당했을 때보다 회복 가능성이 낮습니다. 그래서 바로 그때 우리 고객들에게는 절망이 시작되었습니다.
뉴욕 유엔 주재 북한대표부는 6월 20일 자유아시아방송이 보낸‘북한 정권이 아토믹 월렛과 엑시 인피니티 해킹 사건에 연루된 것이 맞느냐’는 문의에 현재까지 답하지 않고 있습니다.
한편, 7월에도 약 6천만 달러 규모의 암호화폐 결제 제공 업체인 ‘알파포’ 해킹사건과 약 3천 7백만 달러 규모의 암호화폐 서비스 업체인 '코인스페이드' 해킹 사건 배후에도 북한 해킹 조직 라자루스가 연관됐다는 암호화폐 전문가들의 분석이 나왔습니다.
에디터 박정우, 영상 유형준, 웹팀 이경하