북한 해커 조직 라자루스 그룹의 실체: 로닌, 쿠코인 등 여러 산업 사고의 배후, 사회 공학 공격에 능숙

저자: 쿠키, 체인 캡처

해커 공격은 이제 암호화 생태계에서 일상적인 사건이 되었습니다. Chainalysis의 2022년 Q1 보고서에 따르면, 해커는 2021년에 320억 달러의 암호 자산을 훔쳤으며, 2022년 첫 3개월 동안 해커는 거래소, DeFi 프로토콜 및 일반 사용자로부터 약 130억 달러의 암호 자산을 훔쳤습니다. 이 중 97%는 DeFi 프로토콜에서 발생했습니다.

많은 해커 조직 중에서 북한 해커 조직인 라자루스 그룹이 최근 가장 주목받고 있습니다. 미국 재무부 보고서에 따르면, 이 조직은 6.2억 달러의 손실을 초래한 로닌 크로스 체인 브릿지 해킹 사건의 배후로 지목되었으며, 그들의 이더리움 주소는 미국 제재 목록에 포함되었습니다. 이전에 이 조직은 빗썸, 쿠코인 등 여러 암호화폐 거래소 해킹 사건의 주도자로 여겨졌으며, 주로 피싱 공격을 사용했습니다.

현재 라자루스 그룹은 암호화 생태계에서 가장 파괴적인 해커 조직 중 하나로 자리 잡고 있습니다. 그렇다면 이 조직은 어떻게 형성되었고, 일반적으로 어떻게 범죄를 저지르는 걸까요?

라자루스 그룹 개요

위키백과 자료에 따르면, 라자루스 그룹은 2007년에 설립되었으며, 북한 인민군 총참모부 정보총국 제3국 소속의 110호 연구센터에 속해 있습니다. 이 조직은 사이버 전쟁을 전문으로 하며, 국내에서 가장 똑똑한 학생들을 선발하여 6년간의 특별 교육을 통해 다양한 유형의 악성 소프트웨어를 컴퓨터와 서버에 배포하는 능력을 배양합니다. 북한 내 김일성 대학, 김책 공과대학 및 모란봉 대학이 관련 교육을 제공합니다.

이 조직은 두 개의 부서로 나뉘어 있으며, 하나는 약 1700명의 구성원으로 이루어진 블루노르프(또는 APT38)로, 위조된 SWIFT 주문을 통해 불법 송금을 수행하며, 네트워크 취약점을 이용해 경제적 이익을 추구하거나 시스템을 제어하여 금융 네트워크 범죄를 저지릅니다. 이 부서는 금융 기관과 암호화폐 거래소를 대상으로 합니다. 다른 하나는 약 1600명의 구성원으로 이루어진 안다리엘로, 한국을 공격 대상으로 삼습니다.

라자루스 그룹의 가장 초기 공격 활동은 2009년 한국 정부를 공격한 DDoS 기술을 이용한 "트로이 작전"입니다. 가장 유명한 사건은 2014년 소니 픽처스에 대한 공격으로, 이는 소니가 북한 지도자 김정은을 암살하는 내용을 담은 코미디 영화를 상영한 것과 관련이 있습니다.

이 조직의 블루노르프 기관의 유명한 공격 중 하나는 2016년 방글라데시 중앙은행 공격 사건으로, 그들은 SWIFT 네트워크를 이용해 방글라데시 중앙은행 소속의 뉴욕 연방준비은행 계좌에서 거의 10억 달러를 불법으로 이체하려 했습니다. 몇 건의 거래(2000만 달러는 스리랑카, 8100만 달러는 필리핀으로 추적됨)를 완료한 후, 뉴욕 연방준비은행은 철자 오류로 인한 의심을 이유로 나머지 거래를 차단했습니다.

2017년 이후, 이 조직은 암호화 산업을 공격하기 시작했으며, 최소 10억 달러의 수익을 올렸습니다.

라자루스 그룹 암호 공격 사건

2017년 2월 한국 거래소 빗썸에서 700만 달러의 디지털 자산을 도난당했습니다.

2017년 4월 한국 거래소 유빗에서 약 4000개의 비트코인을 도난당했으며, 12월에는 다시 17%의 디지털 자산을 도난당해 유빗은 파산을 신청했습니다.

2017년 12월 암호화폐 클라우드 채굴 시장인 나이스해시에서 4500개 이상의 비트코인을 도난당했습니다.

2020년 9월 쿠코인 거래소에서 약 3억 달러의 디지털 자산을 도난당했습니다.

2022년 3월 로닌 크로스 체인 브릿지를 공격하여 17.36만 개의 ETH와 2550만 USDC를 도난당했으며, 총 가치는 약 6.2억 달러에 달합니다.

또한, 많은 암호 프로젝트의 책임자나 KOL도 라자루스 그룹의 목표가 됩니다. 2022년 3월 22일, 디파이언스 캐피탈의 창립자 아서가 트위터에서 핫 월렛이 도난당했다고 밝혔으며, 17개의 아즈키와 5개의 클론X를 포함한 60개의 NFT가 도난당해 약 170만 달러의 손실을 입었습니다. 아서는 배후가 북한 지원의 블루노르프 해커 조직이라는 증거가 있다고 주장하며, 그들이 암호 산업에 큰 피해를 주고 있다고 말했습니다.

외부의 비난에 직면한 북한은 라자루스 그룹의 소행이 아니라고 발표했지만, 이후 언론의 질문에는 응답하지 않았습니다.

공격 특징

호부 지혜 분석에 따르면, 라자루스 그룹은 피싱, 악성 코드, 악성 소프트웨어 등의 수단을 통해 디지털 지갑에 저장된 암호 자산을 훔치며, 주요 특징은 다음과 같습니다:

• 공격 주기가 일반적으로 길며, 보통 오랜 시간 잠복한 후 다양한 방법으로 목표를 유인합니다.
• 배포된 유인 파일은 매우 혼란스럽고 유혹적이며, 목표가 이를 식별하지 못하게 합니다.
• 공격 과정에서 시스템 파괴 또는 랜섬웨어 응용 프로그램의 간섭 사건 분석을 이용합니다.
• SMB 프로토콜 취약점이나 관련 웜 도구를 이용해 수평 이동 및 페이로드 투입을 수행합니다.
• 매번 공격 시 사용하는 도구 세트의 소스 코드를 수정하며, 사이버 보안 회사가 이를 공개한 후에도 즉시 소스 코드를 수정합니다.

라자루스 그룹이 가장 잘하는 공격 수단은 신뢰 남용으로, 목표가 비즈니스 커뮤니케이션, 동료 내부 채팅 또는 외부 상호작용에 대한 신뢰를 이용해 악성 파일을 전송하고, 일상적인 작업을 모니터링하여 기회를 엿봅니다. 공격자가 발견한 목표가 암호 대부라는 것을 인식하면, 사용자의 활동 경로를 몇 주 또는 몇 달 동안 면밀히 관찰한 후에야 도난 계획을 세웁니다.

2021년 1월, 구글 보안 팀은 라자루스가 트위터, 링크드인, 텔레그램 등의 소셜 미디어에 장기간 잠복해 있으며, 가짜 신분으로 활발한 업계 취약점 연구 전문가로 가장해 업계의 신뢰를 얻어 다른 취약점 연구자에게 0day 공격을 감행하고 있다고 밝혔습니다.

카스퍼스키의 연구에 따르면, 올해 블루노르프 조직은 성공적인 암호화폐 스타트업을 추적하고 연구하는 것을 선호하며, 목표는 팀 관리층과 좋은 개인 상호작용 관계를 구축하고 관심이 있을 만한 주제를 이해하는 것입니다. 심지어는 지원자로 가장해 회사에 침투하여 고품질의 사회 공학 공격을 감행하기도 합니다.

미국 정부의 한 보고서는 침입이 종종 다양한 통신 플랫폼에서 암호화폐 회사 직원에게 대량의 피싱 메시지를 보내는 것으로 시작된다고 밝혔습니다. 이 직원들은 보통 시스템 관리 또는 소프트웨어 개발/IT 운영(DevOps)을 담당합니다. 이러한 메시지는 보통 채용 공고를 가장하고 높은 급여의 일자리를 제공하여 수신자가 악성 소프트웨어가 포함된 암호화폐 애플리케이션을 다운로드하도록 유도합니다.

악성 파일이 목표 컴퓨터에 심어진 후, 공격자가 목표가 메타마스크 확장을 사용하여 암호 지갑을 관리하고 있다는 것을 인식하면, 확장 소스를 웹 스토어에서 로컬 저장소로 변경하고 핵심 확장 구성 요소(백그라운드.js)를 변조된 버전으로 교체합니다. 아래 스크린샷은 바이러스에 감염된 메타마스크 background.js 코드로, 주입된 코드 행은 노란색으로 표시되어 있습니다. 이 경우, 공격자는 특정 발신자와 수신자 주소 간의 거래를 모니터링하도록 설정하여 대규모 송금이 발견되면 알림을 트리거할 수 있습니다.

또한, 공격자가 목표 사용자의 암호화폐가 하드웨어 지갑에 저장되어 있다는 것을 인식하면 거래 과정을 가로채고 악성 논리를 주입합니다. 사용자가 자금을 다른 계좌로 이체할 때 거래는 하드웨어 지갑에서 서명됩니다. 그러나 이 작업은 사용자가 자발적으로 시작한 것이기 때문에 의심을 일으키지 않으며, 공격자는 수신자 주소를 수정할 뿐만 아니라 이체 금액을 최대값으로 늘립니다.

이것은 간단하게 들리지만, 메타마스크 확장 플러그인을 철저히 분석해야 하며, 이 확장에는 6MB 이상의 JavaScript 코드(약 170,000행 코드)가 포함되어 있으며, 코드 주입을 통해 사용자가 확장을 사용할 때 거래 세부 정보를 필요에 따라 재작성하도록 해야 합니다. 그러나 공격자가 Chrome 확장을 수정하면 흔적이 남습니다. 브라우저는 개발자 모드로 전환해야 하며, 메타마스크 확장은 온라인 스토어가 아닌 로컬 디렉토리에서 설치되어야 합니다. 플러그인이 스토어에서 온 경우, Chrome은 코드에 대해 디지털 서명 검증을 강제 적용하고 코드 무결성을 보장하므로 공격자는 공격 과정을 완료할 수 없습니다.

어떻게 대응할 것인가

암호화 생태계의 규모가 빠르게 성장함에 따라, 라자루스 그룹이 산업에 미치는 위협도 급격히 증가하고 있습니다. 미국 연방수사국(FBI), 미국 사이버 보안 및 인프라 보안국(CISA), 미국 재무부가 최근 공동 발표한 통합 사이버 보안 자문(CSA)에 따르면, 2020년 이후 북한 지원의 고급 지속 위협(APT)이 블록체인 및 암호화 산업의 다양한 조직을 대상으로 공격을 시작했습니다. 여기에는 암호화 거래소, DeFi 프로토콜, 체인 게임, 암호화 거래 회사, 암호화 벤처 캐피탈 및 대량의 토큰과 NFT를 보유한 개인 소유자가 포함됩니다. 이러한 조직은 암호화폐 기술 회사, 게임 회사 및 거래소의 취약점을 계속 이용하여 자금을 생성하고 세탁하여 북한 정권을 지원할 수 있습니다.

이에 따라, 해당 보고서에서 제안한 완화 조치에는 심층 방어 보안 전략 적용, 자격 증명 요구 사항 및 다중 요소 인증 강제 적용, 소셜 미디어 및 피싱에서 사용자에 대한 사회 공학 교육 등이 포함됩니다.

오늘날, 유명한 암호 보안 조직인 느린 안개는 이러한 현상에 대한 예방 권고를 발표했습니다: 업계 종사자들은 국내외 주요 위협 플랫폼의 보안 정보를 항상 주시하고, 자가 점검을 통해 경계를 강화해야 하며; 개발자는 실행 가능한 프로그램을 실행하기 전에 필요한 보안 점검을 수행해야 하며; 제로 트러스트 메커니즘을 구축하여 이러한 위협으로 인한 위험을 효과적으로 줄여야 하며; Mac/Windows 실기 사용자는 보안 소프트웨어의 실시간 보호를 유지하고 최신 바이러스 데이터베이스로 업데이트해야 합니다.

자금 세탁 경로 측면에서, 이더리움 믹싱 프로토콜인 토네이도 캐시는 최근 트위터에서 이 프로젝트가 규제 회사인 체인얼리시스가 개발한 도구를 사용하여 미국 외국 자산 통제 사무소(OFAC)가 승인한 특정 암호 지갑 주소의 DApp 접근을 차단하고 있다고 밝혔습니다. 이는 라자루스 그룹에 대한 추적으로 보입니다.

그러나 토네이도 캐시의 공동 창립자인 로만 세메노프는 이후 트위터에서 차단은 사용자 지향의 분산 애플리케이션(dapp)에만 적용되며, 기본 스마트 계약에는 적용되지 않는다고 밝혔습니다. 즉, 이 조치는 더 상징적인 행동일 뿐이며, 숙련된 해커가 토네이도 캐시를 통해 믹싱하는 데 실질적인 영향을 미치기 어렵습니다.

결론

라자루스 그룹은 국가 배경의 지원을 받는 최고의 해커 집단으로, 특정 목표를 겨냥한 장기적인 지속적 네트워크 공격에 집중하여 자금을 훔치고 정치적 목적을 달성하는 것을 출발점으로 하며, 전 세계 금융 기관에 대한 최대 위협 중 하나입니다.

동시에 이러한 조직의 암호화 생태계에 대한 공격은 암호화폐 시장이 북한 정권의 자금을 보충하는 편리한 경로가 되는 간접적인 결과를 초래하여 암호 산업의 추가적인 악명화를 초래하고, 그 규제화 및 표준화 과정에 영향을 미칩니다.

라자루스 그룹과 같은 일련의 해커 조직의 공격에 대응하고 건강한 암호 산업 생태계를 유지하기 위해, 암호 프로젝트는 이러한 공격에 대한 보다 효과적인 예방 메커니즘을 구축해야 하며, 코드 감사, 내부 통제, 사용자 교육, 대응 메커니즘 등 여러 측면에서 적절한 조치를 취하여 사용자 자산의 안전을 최대한 보장해야 합니다.

암호 사용자로서, 모든 사람은 개인 정보 보호, 피싱 링크 식별 등 보안 관련 지식을 더 많이 이해해야 하며, 디파이언스 캐피탈의 창립자 아서와 같은 숙련된 사용자조차도 도난당했음을 감안할 때, 누구도 이러한 위험을 간과해서는 안 됩니다.

참고 자료:
1、https://en.wikipedia.org/wiki/Lazarus_Group
2、https://blog.chainalysis.com/reports/2022-defi-hacks/
3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/