[종합] 북한 해커, 스타트업 침입과 DCG 직원 사칭해 암호화폐 4억 달러 해킹

북한 해커들이 수개월에 걸쳐 디지털 통화 그룹(DCG)과 같은 유명 암호화폐 회사 직원을 사칭해 대량의 암호화폐를 해킹해온 것으로 밝혀졌다.

바이스(VICE)는 13일(현지 시간) 북한 정부에서 일하는 것으로 알려진 해커들이 벤처 자본가와 암호화폐 및 디지털 통화 그룹(Digital Currency Group)과 같은 블록체인 중심 회사의 직원을 사칭해 암호화폐를 훔쳐왔다고 보도했다.
이날 뉴욕증시에 따르면 북한은 지난해 4억 달러(약 4742억 원) 규모의 가상화폐를 해킹해 세탁수법으로 비트코인 등을 빼돌렸다. 미국 뉴욕증시의 블록체인 분석업체의 보고서에 따르면 "여러 코인 해킹 후 섞어 세탁"한 정황이 드러났다고 전했다.

북한은 이 과정에서 다양한 가상화폐를 섞어 해킹한 뒤 이를 여러 차례에 걸쳐 세탁하고 탈중앙화 금융 플랫폼을 사용하는 등 고도화 된 수법을 사용했다. 미국의 블록체인 분석업체 체이널리시스는 북한이 지난해 모두 3억9500만 달러 규모의 가상화폐를 해킹한 것으로 보고 있다.

북한의 해킹 강탈 공격은 주로 투자회사와 거래소에 집중됐다. 피싱과 악성코드, 악성 소프트웨어 등을 이용해 가상자산을 빼돌린 뒤 이를 북한이 소유한 지갑으로 옮겨가는 방식이다, 이 작업은 주로 '라자루스 그룹'으로 알려진 북한의 해킹 그룹이 주도했다.

보안회사 카스퍼스키 랩(Kaspersky Lab)은 13일 몇 달에 걸친 해킹 캠페인을 자세히 설명하는 보고서를 발표해 북한 해커들의 수법을 설명했다. 그동안 북한 해커들은 업계에 관련된 벤처캐피털 회사에서 일하는 척하면서 여러 암호화폐 스타트업에 침입했다. 카스퍼스키랩 연구원에 따르면 북한 해커들의 목표는 대량의 암호화폐를 훔치는 것이었다.

연구원들은 북한 해킹 그룹의 내부의 이름을 사용해 "블루노로프(BlueNoroff) 운영자가 성공적인 암호화폐 스타트업을 스토킹하고 연구하는 것을 봤다"며 "침투 팀의 목표는 개인 간의 상호 작용 맵을 구축하고 가능한 관심 주제를 이해하는 것"이라고 말했다. 해커들은 이를 통해 완전히 정상적인 상호 작용처럼 보이는 고품질 사회 공학 공격을 수행할 수 있었다.

보고서에 따르면 해커들은 디지털 통화 그룹의 최고 경영진에 근무하는 사람을 포함해 15개 이상의 벤처 기업을 사칭했다. 디지털 통화 그룹(DCG)은 투자 및 미디어 전반에 걸쳐 자회사를 보유한 암호화폐 분야의 주요 회사 중 하나다. DCG는 세계 최대 암호화폐 자산 운용사인 그레이스케일 인베스트먼트(Grayscale Investments)를 소유하고 있으며 수십억 개의 자산을 관리하고 있다. DCG는 또한 최고의 암호화폐 거래 간행물인 코인데스크를 소유하고 있다. 회사 설립자인 배리 실버트(Barry Silbert)는 암호화폐 투자자들 사이에서 유명 인사다.
해커는 특히 DCG와 같이 유명하고 영향력 있는 투자자인 경우 잠재적인 투자자와 교류하려는 스타트업의 열망을 악용하고 있다고 연구원들은 지적했다.

연구원들은 "벤처 캐피털 회사가 스타트업에 접근해 투자 계약이나 기타 유망한 문서처럼 보이는 파일을 보낸다면, 약간의 위험이 수반되고 마이크로소프트 오피스가 경고 메시지를 추가하더라도 스타트업은 주저하지 않고 파일을 열어볼 것"이라고 적었다.

바이스는 DCG가 논평 요청에 즉시 응답하지 않았다고 전했다.

카스퍼스키 랩 연구원들은 블르노로프가 북한 정부를 위해 일하는 것으로 널리 알려진 해킹 팀인 악명 높은 라자루스(Lazarus) 그룹과 연결되어 있다고 본다. 이 그룹은 2014년 소니 픽처 엔터테인먼트를 상대로 한 해킹이나 약 10억 달러를 훔친 방글라데시 은행을 상대로 한 해킹과 같은 해킹 사건 뒤에 있는 그룹이다.

이 단체는 오랫동안 국제 경제 제재로 어려움을 겪고 있는 정부 자금을 조달하기 위해 돈을 훔치는 데 집중해 왔다.

연구원들은 DCG나 다른 영향을 받는 회사가 해킹을 당했다고 생각하지 않고 단순히 해커가 자신이나 직원을 사칭했다고 생각한다고 말했다.

해커의 공격은 처음에 피싱 및 사회 공학에 의존하지만 더 많은 기술 작업이 필요하다. 예를 들어, 그들이 대상의 컴퓨터를 해킹한 후 암호화폐를 훔친 방법 중 하나는 대상이 트랜잭션을 리디렉션하기 위해 암호화폐를 이동할 때마다 자체 코드를 삽입하는 것이었다. 이 공격은 메타마스크 크롬(MetaMask Chrome) 확장 프로그램을 분석하고 대상이 즉시 알아차리지 못하는 방식으로 거래 세부 정보를 다시 작성하는 것과 관련됐다.

카스퍼스키 랩 연구원은 "이렇게 하면 감염된 사용자가 다른 계정으로 자금을 이체할 때 거래가 하드웨어 지갑에 서명된다. 그러나 사용자가 매우 적절한 순간에 작업을 시작했다는 점을 감안할 때 사용자는 이상한 일이 벌어지고 있다고 의심하지 않고 거래 세부 사항에 주의를 기울이지 않고 보안 장치에서 거래를 확인한다"고 보고했다. 또 "사용자는 입력한 결제 금액이 적고 실수가 미미하다고 느껴도 너무 걱정하지 않는다. 그러나 공격자는 받는 사람 주소를 수정할 뿐만 아니라 통화 금액을 한도까지 밀어붙여 본질적으로 한 번에 계정을 고갈시킨다"고 경고했다.

카스퍼스키 랩 대변인은 얼마나 많은 표적이 손상되었는지, 북한 해커가 훔친 암호화폐의 양에 대한 질문에 즉시 응답하지 않았다고 바이스는 덧붙였다.


김성은 글로벌이코노믹 기자 jade.kim@g-enews.com

[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.