북한 해커 라자루스 그룹, 6년 만에 30억 달러 훔쳐

최근 사이버 보안업체인 레코디드 퓨쳐(Recorded Future)가 발표한 보고서에 따르면 북한과 연계된 해커 그룹인 라자루스 그룹(Lazarus Group)이 지난 6년간 30억 달러 규모의 암호화폐를 훔쳤다고 한다.

보고서는 2022년에만 라자루스 그룹이 17억 달러에 달하는 암호화폐를 약탈해 북한 프로젝트에 자금을 지원했을 가능성이 있다고 주장합니다.

블록체인 데이터 분석업체 체이나애널리시스(Chainaanalytics)는 디파이(DeFi) 플랫폼에서 11억 달러가 도난당했다고 밝혔다. 미국 국토안보부는 지난 9월 AEP(Analytical Exchange Program)의 일환으로 보고서를 발표했는데, 이 보고서에서는 Lazarus의 DeFi 프로토콜 활용도 강조되었습니다.

나사로 그룹의 전문 분야는 금융 절도입니다. 2016년에는 방글라데시 중앙은행을 해킹해 8,100만 달러를 훔쳤습니다. 2018년에는 일본 암호화폐 거래소 코인체크(Coincheck)를 공격해 5억3천만 달러를 훔쳤고, 말레이시아 네가라 은행(Bank Negara Malaysia)을 공격해 3억9천만 달러를 훔쳤다.

탄소 사슬 가치 편집 보고서의 주요 내용은 참고용입니다.

북한은 2017년부터 암호화폐 산업을 사이버공격의 표적으로 삼아 총 30억 달러 이상의 암호화폐 가치를 탈취해 왔다. 이에 앞서 북한은 SWIFT 네트워크를 탈취해 금융기관 자금을 탈취한 바 있다. 이런 종류의 활동은 국제 기관들로부터 큰 관심을 끌었습니다. 따라서 금융 기관은 자체 사이버 보안 방어를 개선하는 데 투자했습니다.

2017년 암호화폐가 인기를 얻고 주류가 되자 북한 해커들은 탈취 대상을 전통적인 금융에서 새로운 유형의 디지털 금융으로 전환하여 먼저 한국 암호화폐 시장을 목표로 한 다음 전 세계적으로 영향력을 확대했습니다.

2022년에만 북한 해커들이 약 17억 달러 상당의 암호화폐를 훔친 혐의를 받고 있다. 이는 북한 국내 경제 규모의 약 5%, 국방 예산의 45%에 해당하는 금액이다. 이 수치는 2021년 북한 수출액의 거의 10배에 달하는 수치이기도 하다. OEC 홈페이지 자료에 따르면, 그 해 북한의 수출액은 1억8200만달러였다.

북한 해커들이 암호화폐 업계에서 암호화폐를 훔치기 위해 활동하는 방식은 암호화폐 믹서, 크로스체인 거래, 법정화폐 OTC를 사용하는 전통적인 사이버 범죄와 유사한 경우가 많습니다. 그러나 국가가 배후에 있기 때문에 절도는 그 규모를 확대할 수 있습니다. 이런 종류의 작전은 전통적인 사이버 범죄 조직에서는 불가능합니다.

데이터 추적에 따르면 2022년 도난된 암호화폐의 약 44%가 북한 해킹과 관련이 있는 것으로 나타났다.

북한 해커의 공격 대상은 거래소에만 국한되지 않고, 개인 사용자, 벤처캐피탈 기업, 기타 기술과 프로토콜 등 모두 북한 해커의 공격을 받았다. 업계에서 활동하는 이러한 모든 기관과 그곳에서 일하는 개인은 북한 해커의 잠재적인 표적이 될 수 있으며, 이로 인해 북한 정부는 계속해서 운영하고 자금을 조달할 수 있습니다.

암호화폐 산업에 종사하는 모든 사용자, 교환 운영자 또는 스타트업 창업자는 해커의 표적이 될 가능성을 인지해야 합니다.

전통 금융기관들도 북한 해킹그룹의 활동에 세심한 주의를 기울여야 한다. 암호화폐를 훔쳐 명목화폐로 바꾸면 북한 해커들은 출처를 숨기기 위해 자금을 여러 계좌로 이동시킨다. AML/KYC 인증을 우회하기 위해 도난당한 신원과 변경된 사진을 사용하는 경우가 많습니다. 북한 해킹팀과 연계된 침입에 피해를 입은 사람의 개인식별정보(PII)는 암호화폐를 훔치는 자금세탁 절차를 완료하기 위해 계정을 등록하는 데 사용될 수 있습니다. 따라서 암호화폐 및 전통 금융 산업 이외의 기업은 북한 해커 그룹의 활동과 이들의 데이터 또는 인프라가 추가 침입의 발판으로 사용되는지 여부를 경계해야 합니다.

북한 해킹그룹의 침입은 대부분 사회공학과 피싱 캠페인에서 시작된다. 일부 조직에서는 이러한 활동을 모니터링하고 FIDO2 호환 비밀번호 없는 인증과 같은 강력한 다단계 인증을 구현하도록 직원을 교육해야 합니다.

북한은 계속되는 암호화폐 절도를 군사 및 무기 프로그램 자금 조달을 위한 주요 수입원으로 분명히 보고 있습니다. 도난당한 암호화폐 중 얼마나 많은 양이 탄도미사일 발사 자금에 직접 사용되었는지는 확실하지 않지만, 최근 몇 년 동안 도난당한 암호화폐의 양과 미사일 발사 횟수가 크게 증가한 것은 분명합니다. 더 엄격한 규제, 사이버 보안 요구 사항, 암호화폐 회사의 사이버 보안에 대한 투자가 없다면 북한은 국가를 지원하기 위한 추가 수입원으로 암호화폐 산업에 계속 의존할 것이 거의 확실합니다.

2023년 7월 12일, 미국 기업 소프트웨어 회사 JumpCloud는 북한의 지원을 받는 해커가 네트워크에 침입했다고 발표했습니다. Mandiant 연구원들은 나중에 공격에 책임이 있는 그룹이 UNC4899라는 보고서를 발표했는데, 이는 암호화폐에 초점을 맞춘 북한 해커 그룹인 "Trader Traitor"에 해당할 가능성이 높습니다. 2023년 8월 22일, 미국 연방수사국(FBI)은 북한 해커 그룹이 Atomic Wallet, Alphapo 및 CoinsPaid를 해킹 공격에 연루시켜 총 1억 9700만 달러에 달하는 암호화폐를 훔쳤다는 통지문을 발표했습니다. 이러한 암호화폐의 도난으로 인해 북한 정부는 엄격한 국제 제재 하에 계속 활동할 수 있으며 탄도 미사일 프로그램 비용의 최대 50%까지 자금을 조달할 수 있습니다.

2017년에는 북한 해커들이 한국 거래소 빗썸, 유비트, 야피존에 침입해 당시 약 8270만 달러 상당의 암호화폐를 훔쳤다. 2017년 7월 빗썸 이용자의 고객 개인식별정보가 유출된 이후 암호화폐 이용자도 표적이 됐다는 보고도 있다.

북한 해커들은 암호화폐를 훔치는 것 외에도 암호화폐를 채굴하는 방법도 배웠습니다. 2017년 4월, Kaspersky Lab 연구원들은 APT38 침입에 설치된 Monero 채굴 소프트웨어를 발견했습니다.

2018년 1월, 한국 금융보안연구소 연구원들은 북한의 안다리엘 조직이 2017년 여름에 비공개 회사의 서버에 침입하여 당시 약 25,000달러 상당의 모네로 코인 약 70개를 채굴하는 데 사용했다고 발표했습니다.

2020년에도 보안 연구원들은 암호화폐 산업을 표적으로 삼은 북한 해커의 새로운 사이버 공격을 계속해서 보고했습니다. 북한 해킹그룹 APT38은 초기 접촉 수단으로 링크드인(Linkedin)을 이용해 미국, 유럽, 일본, 러시아, 이스라엘의 암호화폐 거래소를 표적으로 삼고 있다.

2021년은 북한 해커들이 최소 7개 암호화폐 기관을 해킹하고 4억 달러 상당의 암호화폐를 훔치는 등 암호화폐 산업에서 북한의 가장 많은 해였습니다. 아울러 북한 해커들은 ERC-20 토큰, NFT 등 알트코인을 노리기 시작했다.

2022년 1월, 체이널리시스 연구원들은 2017년 이후 1억 7천만 달러 상당의 암호화폐가 상환될 수 있는 상태로 남아 있음을 확인했습니다.

2022년 APT38로 인한 주목할만한 공격으로는 Ronin Network 크로스체인 브리지(6억 달러 손실), Harmony 브리지(1억 달러 손실), Qubit Finance 브리지(8천만 달러 손실), Nomad 브리지(손실 8천만 달러) 등이 있습니다. 1억 9천만 달러). 이 네 가지 공격은 특히 해당 플랫폼의 크로스체인 브리지를 표적으로 삼았습니다. 크로스체인 브리지는 2개의 블록체인을 연결하여 사용자가 하나의 암호화폐를 한 블록체인에서 다른 암호화폐가 포함된 다른 블록체인으로 보낼 수 있도록 합니다.

2022년 10월, 일본 경찰청은 Lazarus Group이 일본에서 암호화폐 산업에 종사하는 기업을 대상으로 공격을 감행했다고 발표했습니다. 구체적인 세부 정보는 제공되지 않았지만 성명서는 일부 회사가 성공적으로 손상되고 암호화폐가 도난당했다고 언급했습니다.

2023년 1월부터 8월 사이에 APT38은 Atomic Wallet(2건의 공격으로 총 1억 달러의 손실), AlphaPo(2건의 공격으로 총 6,000만 달러의 손실) 및 CoinsPaid(3,700만 달러의 손실)에서 2억 달러를 훔친 것으로 알려졌습니다. 또한 지난 1월 미국 FBI는 APT38이 하모니(Harmony)의 Horizon Bridge 가상 화폐를 훔쳐 1억 달러의 손실을 입었다는 사실을 확인했습니다.

2023년 7월 CoinsPaid 공격에서 APT38 운영자는 채용 담당자로 가장하여 특히 CoinsPaid 직원을 대상으로 채용 이메일과 LinkedIn 메시지를 보냈을 수 있습니다. CoinsPaid는 APT38이 네트워크에 접근하기 위해 6개월을 보냈다고 말했습니다.

완화 조치

암호화폐 사용자와 기업을 대상으로 한 북한의 사이버 공격을 방지하기 위한 Insikt Group의 권장 사항은 다음과 같습니다.
다단계 인증(MFA) 활성화: 보안 강화를 위해 지갑 및 거래에 YubiKey와 같은 하드웨어 장치를 사용합니다.
암호화폐 거래소에 사용 가능한 MFA 설정을 활성화하면 무단 로그인이나 도난으로부터 계정을 최대한 보호할 수 있습니다.
사용자 이름에 특수 문자나 문자 대신 숫자가 포함되어 있는지 확인하여 확인된 소셜 미디어 계정을 확인하세요.
요청한 거래가 합법적인지 확인하고 에어드랍이나 기타 무료 암호화폐 또는 NFT 프로모션이 있는지 확인하세요.
에어드랍이나 Uniswap이나 기타 대규모 플랫폼과 같은 기타 콘텐츠를 받을 때는 항상 공식 소스를 확인하세요.
항상 URL을 확인하고 링크를 클릭한 후 리디렉션을 관찰하여 웹사이트가 공식 웹사이트이고 피싱 사이트가 아닌지 확인하세요.

다음은 소셜 미디어 사기를 방어하기 위한 몇 가지 팁입니다.

암호화폐를 거래할 때는 각별히 주의하세요. 암호화폐 자산에는 "전통적인" 사기를 완화하기 위한 제도적 보호 장치가 없습니다.
하드웨어 지갑을 사용하세요. 하드웨어 지갑은 항상 인터넷에 연결되어 있는 MetaMask와 같은 "핫 지갑"보다 더 안전할 수 있습니다. MetaMask에 연결된 하드웨어 지갑의 경우 모든 거래는 하드웨어 지갑의 승인을 받아야 보안이 강화됩니다.
신뢰할 수 있는 dApp(분산형 애플리케이션)만 사용하고 스마트 계약 주소를 확인하여 진위성과 무결성을 확인하세요. 진정한 NFT 발행 상호 작용은 더 큰 dApp의 일부일 수 있는 스마트 계약에 의존합니다. 계약 주소는 Etherscan과 같은 블록체인 탐색기인 MetaMask를 사용하거나 때로는 dApp 내에서 직접 확인할 수 있습니다.
모방을 피하기 위해 공식 웹사이트의 URL을 다시 확인하세요. 일부 암호화폐를 훔치는 피싱 페이지는 의심하지 않는 사용자를 속이기 위해 도메인 이름 철자를 잘못 사용하는 경우가 있습니다.
사실이라고 믿기엔 너무 좋아 보이는 제안에는 회의적인 태도를 취하세요. 암호화폐를 훔치는 피싱 페이지는 유리한 암호화폐 환율이나 NFT 채굴 상호 작용에 대한 낮은 가스 요금으로 피해자를 유인합니다.