조선 해커 라자루스 그룹, 6년 동안 300억 달러 암호화폐 탈취

저자: 탄체인 가치

최근, 사이버 보안 회사 Recorded Future가 발표한 보고서에 따르면, 북한과 관련된 해커 조직 Lazarus Group이 지난 6년 동안 30억 달러의 암호화폐를 훔쳤다고 합니다.

보고서에 따르면, 2022년 한 해에만 Lazarus Group은 17억 달러의 암호화폐를 약탈했으며, 이는 북한 프로젝트에 자금을 제공했을 가능성이 높습니다.

블록체인 데이터 분석 회사 Chainanalysis는 그 중 11억 달러가 DeFi 플랫폼에서 도난당했다고 밝혔습니다. 미국 국토안보부는 9월에 발표한 보고서에서 분석 교환 프로그램(AEP)의 일환으로 Lazarus의 DeFi 프로토콜 활용을 강조했습니다.

Lazarus Group의 전문 분야는 자금 도난입니다. 2016년, 그들은 방글라데시 중앙은행을 해킹하여 8100만 달러를 훔쳤습니다. 2018년에는 일본 암호화폐 거래소 Coincheck를 공격하여 5억 3천만 달러를 탈취하고, 말레이시아 중앙은행을 공격하여 3억 9천만 달러를 훔쳤습니다.
탄체인 가치는 보고서의 핵심 부분을 참고용으로 제공합니다:

2017년부터 북한은 암호화 산업을 사이버 공격의 목표로 삼아 30억 달러 이상의 암호화폐 가치를 훔쳤습니다. 그 이전에 북한은 SWIFT 네트워크를 해킹하고 금융 기관 간의 자금을 훔쳤습니다. 이러한 활동은 국제 기관의 면밀한 주목을 받았습니다. 금융 기관들은 이에 따라 자체 네트워크 보안 방어를 개선하기 위해 투자했습니다.

2017년, 암호화폐가 주류로 떠오르기 시작했을 때, 북한 해커들은 전통 금융에서 이러한 새로운 디지털 금융으로 목표를 전환하였으며, 처음에는 한국 암호화 시장을 겨냥한 후 전 세계적으로 영향력을 확장했습니다.

2022년 한 해에만 북한 해커들은 약 17억 달러의 암호화폐를 훔쳤다는 혐의를 받고 있으며, 이는 북한 국내 경제 규모의 약 5% 또는 군사 예산의 45%에 해당합니다. 이 숫자는 또한 북한의 2021년 수출 가치의 거의 10배에 해당하며, OEC 웹사이트 데이터에 따르면 그 해 북한의 수출액은 1억 8200만 달러였습니다.

북한 해커들이 암호화 산업에서 암호화폐를 훔치는 방식은 일반적으로 암호화 믹서, 크로스 체인 거래 및 법정 화폐 OTC를 이용한 전통적인 사이버 범죄의 운영 방식과 유사합니다. 그러나 국가가 뒷받침하고 있기 때문에 도난 행위는 자체 운영 규모를 확장할 수 있습니다. 이러한 운영 방식은 전통적인 사이버 범죄 집단이 할 수 없는 것입니다.

데이터 추적에 따르면, 2022년에는 약 44%의 도난당한 암호화폐가 북한 해커의 행동과 관련이 있었습니다.

북한 해커의 목표는 거래소에 국한되지 않으며, 개인 사용자, 벤처 캐피탈 회사 및 기타 기술과 프로토콜도 북한 해커의 공격을 받았습니다. 산업 운영의 모든 기관과 일하는 개인은 북한 해커의 잠재적 목표가 될 수 있으며, 이는 북한 정부가 계속 운영하고 자금을 조달할 수 있게 합니다.

암호화 산업에서 일하는 사용자, 거래소 운영자 및 스타트업 창립자는 해커 공격의 목표가 될 수 있음을 인식해야 합니다.

전통 금융 기관도 북한 해커 조직의 활동에 면밀히 주목해야 합니다. 암호화폐가 도난당하고 법정 화폐로 전환되면, 북한 해커의 도난 행위는 출처를 숨기기 위해 다양한 계좌 간에 자금을 이동하게 됩니다. 일반적으로 도난당한 신원 및 수정된 사진이 AML/KYC 검증을 우회하는 데 사용됩니다. 북한 해커 팀과 관련된 침해 피해자의 개인 식별 정보(PII)는 암호화폐 도난의 세탁 과정을 완료하기 위해 계정을 등록하는 데 사용될 수 있습니다. 따라서 암호화폐 및 전통 금융 산업 외의 회사를 운영하는 경우에도 북한 해커 집단의 활동과 그들의 데이터 또는 인프라가 추가 침해의 발판으로 사용되는지에 대해 경계해야 합니다.

북한 해커 조직의 대부분의 침해는 사회 공학 및 피싱 활동에서 시작됩니다. 일부 조직은 직원들에게 이러한 활동을 모니터링하도록 교육하고, FIDO2 표준에 부합하는 무비밀번호 인증과 같은 강력한 다중 요소 인증을 구현해야 합니다.

북한은 지속적으로 암호화폐를 훔치는 것을 주요 수입원으로 삼아 자국의 군사 및 무기 프로젝트에 자금을 지원할 것으로 분명합니다. 현재 얼마나 많은 도난당한 암호화폐가 탄도 미사일 발사에 직접 사용되는지는 불확실하지만, 최근 몇 년 동안 도난당한 암호화폐의 수량과 미사일 발사 수가 크게 증가한 것은 분명합니다. 더 엄격한 규제, 사이버 보안 요구 사항 및 암호화폐 회사의 사이버 보안에 대한 투자가 없다면, 북한은 거의 확실히 암호화폐 산업을 국가의 추가 수입원으로 계속 사용할 것입니다.

2023년 7월 12일, 미국 기업 소프트웨어 회사 JumpCloud는 북한 지원 해커가 자사 네트워크에 침입했다고 발표했습니다. Mandiant 연구원들은 이후 이 공격을 담당한 집단이 UNC4899이며, 이는 암호화폐에 집중하는 북한 해커 조직인 "TraderTraitor"와 관련이 있을 가능성이 높다고 보고했습니다. 2023년 8월 22일, 미국 연방수사국(FBI)은 북한 해커 조직이 Atomic Wallet, Alphapo 및 CoinsPaid의 해킹에 연루되어 총 1억 9700만 달러의 암호화폐를 도난당했다고 발표했습니다. 이러한 암호화폐의 도난은 북한 정부가 엄격한 국제 제재 속에서도 계속 운영하고, 최대 50%의 탄도 미사일 계획 비용을 지원할 수 있게 합니다.

2017년, 북한 해커는 한국의 거래소 Bithumb, Youbit 및 Yapizon을 해킹하여 약 8270만 달러의 암호화폐를 도난당했습니다. 또한 2017년 7월 Bithumb 사용자들의 개인 신원 정보가 유출된 후, 암호화폐 사용자들도 공격의 목표가 되었다고 보고되었습니다.

암호화폐를 도난당하는 것 외에도, 북한 해커는 암호화폐 채굴도 배웠습니다. 2017년 4월, 카스퍼스키 연구원들은 APT38의 침입에서 설치된 Monero 채굴 소프트웨어를 발견했습니다.

2018년 1월, 한국 금융안전연구소 연구원들은 북한의 Andariel 조직이 2017년 여름에 비공식 회사 서버를 해킹하여 당시 약 25000달러에 해당하는 70개의 모네로를 채굴했다고 발표했습니다.

2020년, 보안 연구원들은 북한 해커가 암호화폐 산업을 겨냥한 새로운 사이버 공격을 계속 보고했습니다. 북한 해커 조직 APT38은 미국, 유럽, 일본, 러시아 및 이스라엘의 암호화폐 거래소를 공격하고, LinkedIn을 통해 초기 접촉 대상을 겨냥했습니다.

2021년은 북한이 암호화폐 산업을 겨냥한 가장 생산적인 해였으며, 북한 해커는 최소 7개의 암호화폐 기관을 해킹하여 4억 달러의 암호화폐를 도난당했습니다. 또한 북한 해커는 ERC-20 토큰 및 NFT를 포함한 알트코인(산지코인)을 겨냥하기 시작했습니다.

2022년 1월, Chainanalysis 연구원들은 2017년 이후 여전히 1억 7000만 달러의 암호화폐가 현금화되지 않았음을 확인했습니다.

2022년 APT38에 속하는 주요 공격에는 Ronin Network 크로스 체인 브릿지(손실 6억 달러), Harmony 브릿지(손실 1억 달러), Qubit Finance 브릿지(손실 8000만 달러) 및 Nomad 브릿지(손실 1억 9000만 달러)가 포함됩니다. 이 4건의 공격은 특히 이러한 플랫폼의 크로스 체인 브릿지를 겨냥했습니다. 크로스 체인 브릿지는 두 개의 블록체인을 연결하여 사용자가 한 블록체인에서 다른 블록체인으로 다른 암호화폐를 전송할 수 있도록 합니다.

2022년 10월, 일본 경찰청은 Lazarus Group이 일본에서 운영되는 암호화폐 산업의 회사를 공격했다고 발표했습니다. 구체적인 세부 사항은 제공되지 않았지만, 일부 회사가 성공적으로 침입당했으며 암호화폐가 도난당했다고 밝혔습니다.

2023년 1월부터 8월 사이, APT38은 Atomic Wallet(2회 공격 총 1억 달러 손실), AlphaPo(2회 공격 총 6000만 달러 손실) 및 CoinsPaid(3700만 달러 손실)에서 2억 달러를 도난당했다고 전해졌습니다. 같은 1월, 미국 FBI는 APT38이 Harmony의 Horizon 브릿지 가상 화폐를 도난당하는 데 1억 달러의 손실을 입었다고 확인했습니다.

2023년 7월 CoinsPaid 공격에서 APT38 운영자는 채용 담당자로 가장해 CoinsPaid 직원에게 채용 이메일과 LinkedIn 메시지를 보냈을 가능성이 있습니다. CoinsPaid는 APT38이 6개월 동안 자사 네트워크에 대한 접근 권한을 얻으려고 했다고 밝혔습니다.

완화 조치

다음은 Insikt Group이 암호화폐 사용자 및 회사를 대상으로 한 북한 사이버 공격을 방지하기 위한 권장 사항입니다:

다중 인증(MFA) 활성화: 지갑 및 거래에 하드웨어 장치(예: YubiKey)를 사용하여 보안을 강화합니다.

암호화폐 거래소에서 사용할 수 있는 모든 MFA 설정을 활성화하여 계정을 무단 로그인이나 도난으로부터 최대한 보호합니다.

검증된 소셜 미디어 계정을 확인하고, 사용자 이름에 특수 문자나 숫자가 포함되어 있는지 확인합니다.
요청된 거래가 합법적인지 확인하고, 모든 에어드롭 또는 기타 무료 암호화폐 또는 NFT 프로모션을 검증합니다.

Uniswap 또는 기타 대형 플랫폼의 에어드롭 또는 기타 내용을 수신할 때 항상 공식 출처를 확인합니다.
URL을 항상 확인하고 링크를 클릭한 후 리디렉션을 관찰하여 웹사이트가 공식 웹사이트인지 피싱 웹사이트인지 확인합니다.

다음은 소셜 미디어 사기에 대한 방어를 위한 몇 가지 팁입니다:

암호화폐 거래를 할 때 특히 주의하십시오. 암호화폐 자산은 "전통적인" 사기를 완화할 기관의 보장이 없습니다.

하드웨어 지갑을 사용하십시오. 하드웨어 지갑은 MetaMask와 같이 항상 인터넷에 연결된 "핫 지갑"보다 더 안전할 수 있습니다. MetaMask에 연결된 하드웨어 지갑의 경우, 모든 거래는 하드웨어 지갑의 승인을 받아야 하므로 추가적인 보안 계층을 제공합니다.

신뢰할 수 있는 dApp(탈중앙화 애플리케이션)만 사용하고, 스마트 계약 주소를 검증하여 그 진위와 완전성을 확인합니다. 진정한 NFT 민팅 상호작용은 더 큰 dApp의 일부일 수 있는 스마트 계약에 의존합니다. MetaMask, 블록체인 탐색기(예: Etherscan) 또는 때때로 dApp 내부에서 계약 주소를 검증할 수 있습니다.

모방을 피하기 위해 공식 웹사이트의 URL을 재확인하십시오. 일부 암호화폐 도난 피싱 페이지는 도메인 철자 오류에 의존하여 무지한 사용자를 속일 수 있습니다.

너무 좋아서 믿기 어려운 제안에 의심을 품으십시오. 암호화폐 도난 피싱 페이지는 유리한 암호화폐 거래 환율이나 NFT 민팅 상호작용의 저렴한 가스 요금으로 피해자를 유인합니다.