조선 해커 라자루스 그룹 6년 동안 300억을 훔쳤다

편집: 탄체인 가치

최근, 사이버 보안 회사 Recorded Future가 발표한 보고서에 따르면, 북한과 관련된 해커 조직 Lazarus Group이 지난 6년 동안 300억 달러의 암호화폐를 훔쳤다고 합니다.

보고서에 따르면, 2022년 한 해 동안 Lazarus Group은 170억 달러의 암호화폐를 약탈했으며, 이는 북한 프로젝트에 자금을 제공했을 가능성이 높습니다.

블록체인 데이터 분석 회사 Chainaanalysis는 이 중 110억 달러가 DeFi 플랫폼에서 도난당했다고 밝혔습니다. 미국 국토안보부는 9월 보고서에서 분석 교환 프로그램(AEP)의 일환으로 Lazarus가 DeFi 프로토콜을 활용한 점을 강조했습니다.

Lazarus Group의 전문 분야는 자금 도난입니다. 2016년, 그들은 방글라데시 중앙은행을 해킹하여 8100만 달러를 훔쳤습니다. 2018년, 그들은 일본 암호화폐 거래소 Coincheck를 공격하여 5억 3000만 달러를 탈취하고, 말레이시아 중앙은행을 공격하여 3억 9000만 달러를 훔쳤습니다.

탄체인 가치 정리 보고서의 핵심 부분을 참고하시기 바랍니다:

2017년부터 북한은 암호화 산업을 사이버 공격의 목표로 삼아 암호화폐 가치를 총 300억 달러 이상 훔쳤습니다. 그 이전에 북한은 SWIFT 네트워크를 해킹하여 금융 기관 간의 자금을 훔쳤습니다. 이러한 활동은 국제 기관의 밀접한 관심을 불러일으켰습니다. 금융 기관들은 결과적으로 자신의 사이버 보안 방어를 개선하기 위해 투자하게 되었습니다.

2017년, 암호화폐가 대중화되기 시작할 때, 북한 해커들은 전통 금융에서 이러한 새로운 디지털 금융으로 목표를 전환하였으며, 처음에는 한국 암호화 시장을 겨냥하고 이후 전 세계적으로 영향력을 확장했습니다.

2022년 한 해 동안 북한 해커들은 약 170억 달러의 암호화폐를 훔쳤다고 지목되었으며, 이는 북한 국내 경제 규모의 약 5% 또는 군사 예산의 45%에 해당합니다. 이 숫자는 또한 북한의 2021년 수출 가치의 거의 10배에 해당하며, OEC 웹사이트 데이터에 따르면 그 해 북한의 수출액은 1억 8200만 달러였습니다.

북한 해커들이 암호화 산업에서 암호화폐를 훔치는 방식은 일반적으로 암호화 믹서, 크로스 체인 거래 및 법정 화폐 OTC의 전통적인 사이버 범죄 방식과 유사합니다. 그러나 국가가 뒷받침하고 있기 때문에 도난 행위는 자신의 운영 규모를 확장할 수 있습니다. 이러한 운영 방식은 전통적인 사이버 범죄 조직이 할 수 없는 것입니다.

데이터 추적에 따르면, 2022년 약 44%의 도난당한 암호화폐가 북한 해커의 행동과 관련이 있었습니다.

북한 해커의 목표는 거래소에 국한되지 않으며, 개인 사용자, 벤처 캐피털 회사 및 기타 기술과 프로토콜도 북한 해커의 공격을 받았습니다. 이 모든 산업 운영 기관과 일하는 개인은 북한 해커의 잠재적 목표가 될 수 있으며, 이는 북한 정부가 계속 운영하고 자금을 모을 수 있게 합니다.

암호화 산업에 종사하는 사용자, 거래소 운영자 및 스타트업 창립자는 해커 공격의 목표가 될 수 있음을 인식해야 합니다.

전통 금융 기관도 북한 해커 조직의 활동에 주의해야 합니다. 암호화폐가 도난당하고 법정 화폐로 전환되면, 북한 해커의 도난 행위는 출처를 숨기기 위해 다양한 계좌 간에 자금을 이동하게 됩니다. 일반적으로 도난당한 신원 및 수정된 사진이 AML/KYC 검증을 우회하는 데 사용됩니다. 북한 해커 팀과 관련된 침해 피해자의 개인 식별 정보(PII)는 암호화폐 도난의 세탁 과정을 완료하기 위해 계정을 등록하는 데 사용될 수 있습니다. 따라서 암호화폐 및 전통 금융 산업 외의 회사를 운영하는 경우에도 북한 해커 그룹의 활동과 그들의 데이터 또는 인프라가 추가 침해의 발판으로 사용되는지 여부에 대해 경계해야 합니다.

북한 해커 조직의 대부분의 침해는 사회 공학 및 피싱 활동에서 시작됩니다. 일부 조직은 직원들에게 이러한 활동을 모니터링하도록 교육하고, FIDO2 표준에 부합하는 비밀번호 없는 인증과 같은 강력한 다단계 인증을 구현해야 합니다.

북한은 지속적으로 암호화폐를 훔치는 것을 주요 수입원으로 삼아 자신의 군사 및 무기 프로젝트를 자금 지원하는 것으로 명확히 하고 있습니다. 현재 얼마나 많은 도난당한 암호화폐가 탄도 미사일 발사 자금으로 직접 사용되는지는 불확실하지만, 최근 몇 년 동안 도난당한 암호화폐의 수와 미사일 발사 수가 크게 증가한 것은 분명합니다. 더 엄격한 규제, 사이버 보안 요구 사항 및 암호화폐 회사의 사이버 보안에 대한 투자가 없다면, 북한은 거의 확실히 암호화폐 산업을 국가의 추가 수입원으로 계속 사용할 것입니다.

2023년 7월 12일, 미국 기업 소프트웨어 회사 JumpCloud는 북한 지원 해커가 자사 네트워크에 침입했다고 발표했습니다. Mandiant 연구원들은 이후 이 공격을 담당한 그룹이 UNC4899이며, 이는 암호화폐에 집중하는 북한 해커 조직인 "TraderTraitor"와 관련이 있을 가능성이 높다고 보고했습니다. 2023년 8월 22일, 미국 연방수사국(FBI)은 북한 해커 조직이 Atomic Wallet, Alphapo 및 CoinsPaid의 해킹 공격에 연루되어 1억 9700만 달러의 암호화폐를 훔쳤다고 발표했습니다. 이러한 암호화폐의 도난은 북한 정부가 엄격한 국제 제재 속에서도 계속 운영하고, 최대 50%의 탄도 미사일 프로그램 비용을 자금 지원할 수 있게 해주었습니다.

2017년, 북한 해커들은 한국의 거래소 Bithumb, Youbit 및 Yapizon을 해킹하여 약 8270만 달러의 암호화폐를 훔쳤습니다. 또한 2017년 7월 Bithumb 사용자들의 개인 신원 정보가 유출된 후, 암호화폐 사용자들도 공격의 목표가 되었다고 보고되었습니다.

암호화폐를 훔치는 것 외에도, 북한 해커들은 암호화폐 채굴을 배우기도 했습니다. 2017년 4월, 카스퍼스키 연구원들은 APT38의 침입에서 Monero 채굴 소프트웨어를 발견했습니다.

2018년 1월, 한국 금융안전연구소 연구원들은 북한의 Andariel 조직이 2017년 여름에 비공식 회사 서버를 침입하여 당시 약 25000달러의 가치가 있는 70개의 모네로를 채굴했다고 발표했습니다.

2020년, 보안 연구원들은 북한 해커들이 암호화폐 산업을 겨냥한 새로운 사이버 공격을 계속 보고했습니다. 북한 해커 조직 APT38은 미국, 유럽, 일본, 러시아 및 이스라엘의 암호화폐 거래소를 공격하고, LinkedIn을 통해 초기 접촉 대상을 설정했습니다.

2021년은 북한이 암호화폐 산업을 겨냥한 가장 생산적인 해였으며, 북한 해커들은 최소 7개의 암호화폐 기관을 해킹하여 4억 달러의 암호화폐를 훔쳤습니다. 또한 북한 해커들은 ERC-20 토큰을 포함한 알트코인 및 NFT를 겨냥하기 시작했습니다.

2022년 1월, Chainalysis 연구원들은 2017년 이후 1억 7000만 달러의 암호화폐가 아직 현금화되지 않았음을 확인했습니다.

2022년에 APT38에 귀속된 주요 공격에는 Ronin Network 크로스 체인 브릿지(손실 6억 달러), Harmony 브릿지(손실 1억 달러), Qubit Finance 브릿지(손실 8000만 달러) 및 Nomad 브릿지(손실 1억 9000만 달러)가 포함됩니다. 이 4건의 공격은 특히 이러한 플랫폼의 크로스 체인 브릿지를 겨냥했습니다. 크로스 체인 브릿지는 2개의 블록체인을 연결하여 사용자가 한 블록체인에서 다른 블록체인으로 서로 다른 암호화폐를 전송할 수 있도록 합니다.

2022년 10월, 일본 경찰청은 Lazarus Group이 일본에서 운영되는 암호화폐 산업의 회사를 공격했다고 발표했습니다. 구체적인 세부 사항은 제공되지 않았지만, 일부 회사가 성공적으로 침입당했으며 암호화폐가 도난당했다고 밝혔습니다.

2023년 1월부터 8월 사이, APT38은 Atomic Wallet(2회 공격, 총 1억 달러 손실), AlphaPo(2회 공격, 총 6000만 달러 손실) 및 CoinsPaid(3700만 달러 손실)에서 2억 달러를 훔쳤다고 전해졌습니다. 같은 1월, 미국 FBI는 APT38이 Harmony의 Horizon 브릿지 가상화폐를 훔치는 과정에서 1억 달러의 손실을 입었다고 확인했습니다.

2023년 7월 CoinsPaid 공격에서 APT38 운영자는 채용 담당자로 가장하여 CoinsPaid 직원에게 채용 이메일과 LinkedIn 메시지를 보냈을 가능성이 있습니다. CoinsPaid는 APT38이 자사 네트워크에 대한 접근 권한을 얻기 위해 6개월을 소비했다고 밝혔습니다.

완화 조치

• 다음은 Insikt Group이 암호화폐 사용자와 회사를 대상으로 한 북한 사이버 공격을 방지하기 위한 권장 사항입니다:
• 다단계 인증(MFA) 활성화: 지갑 및 거래에 YubiKey와 같은 하드웨어 장치를 사용하여 보안을 강화합니다.
• 암호화폐 거래소에 사용 가능한 모든 MFA 설정을 활성화하여 계정을 무단 로그인이나 도난으로부터 최대한 보호합니다.
• 인증된 소셜 미디어 계정을 확인하고, 사용자 이름에 특수 문자나 숫자가 포함되어 있는지 확인합니다.
• 요청된 거래가 합법적인지 확인하고, 모든 에어드롭 또는 기타 무료 암호화폐 또는 NFT 프로모션을 검증합니다.
• Uniswap 또는 기타 대형 플랫폼의 에어드롭 또는 기타 내용을 수신할 때 항상 공식 출처를 확인합니다.
• 항상 URL을 확인하고 링크를 클릭한 후 리디렉션을 관찰하여 웹사이트가 피싱 사이트가 아닌 공식 웹사이트인지 확인합니다.

다음은 소셜 미디어 사기 방어를 위한 몇 가지 팁입니다:

• 암호화폐 거래를 할 때 특히 주의하십시오. 암호화폐 자산은 "전통적인" 사기를 완화할 기관 보장이 없습니다.
• 하드웨어 지갑을 사용하십시오. 하드웨어 지갑은 항상 인터넷에 연결된 "핫 지갑"인 MetaMask보다 더 안전할 수 있습니다. MetaMask에 연결된 하드웨어 지갑의 경우, 모든 거래는 하드웨어 지갑의 승인을 받아야 하므로 추가 보안 계층을 제공합니다.
• 신뢰할 수 있는 dApps(탈중앙화 애플리케이션)만 사용하고, 스마트 계약 주소를 확인하여 그 진위와 완전성을 확인합니다. 진정한 NFT 민팅 상호작용은 더 큰 dApp의 일부일 수 있는 스마트 계약에 의존합니다. MetaMask, 블록체인 탐색기(예: Etherscan) 또는 때때로 dApp 내부에서 직접 계약 주소를 확인할 수 있습니다.
• 모방을 피하기 위해 공식 웹사이트의 URL을 다시 확인하십시오. 일부 암호화폐 도난 피싱 페이지는 도메인 철자 오류를 이용하여 무지한 사용자를 속일 수 있습니다.
• 너무 좋게 보여서 믿기 어려운 제안에 의심을 품으십시오. 암호화폐 도난 피싱 페이지는 유리한 암호화폐 거래 환율이나 NFT 민팅 상호작용의 저렴한 가스 요금을 제공하여 피해자를 유인합니다.