북한 국기인 인민공화국기. 홍람오각별기라는 별명이 있다. 출처=체이널리시스 보고서 웹페이지 캡처
북한 국기인 인민공화국기. 홍람오각별기라는 별명이 있다. 출처=체이널리시스 보고서 웹페이지 캡처

북한이 2021년 해킹 공격으로 4억달러(약 4700억원) 규모의 가상자산을 탈취했다는 분석이 나왔다. 이 가운데 1억7000만달러(약 2000억원)를 현금으로 바꾸지 않은 채 보관하고 있는 것으로 조사됐다.

탈취한 가상자산 가운데 ETH(이더리움)이 58%를 차지했다.

블록체인 데이터 분석기업 체이널리시스는 13일(현지시간) 2017년 이후 북한의 가상자산 해킹 공격을 상세하게 추적·분석한 보고서를 공개해 이렇게 밝혔다.

보고서 제목은 이렇다. “북한은 (2021년) 해커들을 앞세워 탈취한 가상자산을 세탁하지 않은 채 보유하고 있는 규모가 사상 최대치를 기록할 정도로 풍요로운 한 해를 보냈다(North Korean Hackers Have Prolific Year as Their Unlaundered Cryptocurrency Holdings Reach All-time High)

디크립트는 이날 “북한이 사이버 범죄자들을 앞세워 2021년 최소 7건의 해킹 공격을 자행했고 모두 4억달러의 가상자산을 탈취했다”고 보고서를 인용해 전했다.

북한은 특히 탈취한 여러 가상자산을 복잡하게 뒤섞고 교환하는 과정을 거친 뒤 추적을 피하기 위해 디파이(탈중앙화금융) 플랫폼을 거쳐 법정 화폐로 바꾸는 등 매우 지능적인 세탁을 벌인 것으로 확인됐다.

 

그래프1. 2017년 이후 북한의 가상자산 해킹 규모와 건수 추이. 분홍색 막대 그래프는 해킹한 가상자산 규모. 파란색 선 그래프는 해킹 건수. 출처=체이널리시스 보고서 웹페이지 캡처
그래프1. 2017년 이후 북한의 가상자산 해킹 규모와 건수 추이. 분홍색 막대 그래프는 해킹한 가상자산 규모. 파란색 선 그래프는 해킹 건수. 출처=체이널리시스 보고서 웹페이지 캡처

북한의 가상자산 해킹은 2020년 4건, 2021년에는 7건이었다. 탈취한 가상자산 규모는 2020년에서 2021년 사이 40% 증가했다.

가상자산 가격이 급등하면서 탈취한 가상자산 가치도 엄청나게 불어났다. 같은 기간 BTC(비트코인) 가격이 303% 증가했고 이더리움 가격 472% 올랐기 때문이다.

북한이 탈취한 가상자산은 ETH(이더리움)이 58%로 비트코인(20%)보다 두 배 이상 많았다.

막대한 이더리움 덕분에 북한이 탈취한 가상자산을 어떻게 세탁했는지 추적할 수 있었다고 디크립트는 전했다. 크게 두 차례 복잡한 세탁을 거쳤다.

 

그래프2. 2017년 이후 북한이 해킹한 가상자산 종류 분석. 녹색은 ERC-20 토큰. 남색은 알트코인, 노란색은 이더리움. 주황색은 비트코인. 출처 =체이널리시스 보고서 웹페이지 캡처
그래프2. 2017년 이후 북한이 해킹한 가상자산 종류 분석. 녹색은 ERC-20 토큰. 남색은 알트코인, 노란색은 이더리움. 주황색은 비트코인. 출처 =체이널리시스 보고서 웹페이지 캡처

우선 북한은 이더리움 기반 ERC-20 토큰들과 다른 가상자산들을 이더리움으로 바꿨다(swapping).

교환한 이더리움을 ‘믹서(mixer)’라는 소프트웨어로 보냈다. 믹서는 수천개의 주소에서 탈취한 가상자산을 출처를 지우기 위해 마구 뒤섞었다.

뒤섞은 가상자산은 비트코인으로 교환한 다음 다시 복잡하게 섞는 과정을 거친 뒤 새 지갑으로 보내 모았다.

북한은 그렇게 마련한 비트코인을 주로 아시아의 거래소로 보내 법정화폐로 바꿨다고 보고서는 밝혔다.

2021년 북한이 탈취한 뒤 이렇게 복잡한 세탁을 거친 가상자산은 65%였다. 2020년 42%, 2019년엔 21%로 나타나 매년 크게 늘어나는 것으로 나타났다.

2021년 가장 충격적인 사건은 8월 19일 리퀴드닷컴(Liquid.com)의 해킹이었다. 모두 9700만달러(약 1150억원) 규모의 가상자산이 탈취됐다.

이 때 비트코인과 이더리움, 67개의 서로 다른 ERC-20 토큰이 북한이 통제하는 가상자산 주소로 보내졌다고 체이널리시스는 확인했다.

 

라자루스그룹(Lazarus Group)

 

북한의 가상자산 해킹은 라자루스그룹이라는 해커 조직이 주도했다고 보고서는 밝혔다. 

북한의 대외공작활동을 북한군 정찰총국이 총괄하는데 여기서 라자루스그룹을 지휘한다고 디크립트는 전했다.

2014년 미국 소니픽처스(Sony Pictures)가 북한 체제를 조롱한 영화를 제작했는데 이 때 이 회사를 해킹했다는 의혹이 제기돼 라자루스그룹이 국제사회에 알려졌다.

이 조직은 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 '워너크라이(WannaCry)' 유포, 2019년 인도 현금인출기 공격 등의 배후로도 의심을 받았다.

체이널리시스는 "2018년부터 매년 이 조직은 엄청난 양의 가상자산을 훔치고 세탁했는데 모두 2억달러(약 2370억원)이 넘는다"고 밝혔다.

 

북한, 때를 기다린다

 

체이널리시스는 북한이 2017년부터 2021년까지 모두 49건의 해킹 공격을 자행했고 현재 1억7000만달러 상당을 세탁하지 않은 채 보관하고 있다고 전했다.

체이널리시스는 “그 이유는 확실하지 않지만 해킹 공격에 (미국) 수사기관의 관심과 감시가 줄어들 때를 기다려 현금으로 바꾸려고 할 수 있다"고 전했다.

이에 대해 “북한은 탈취한 가상자산을 성급하거나 절박하게 현금으로 바꾸려고 하지 않고 있는데 이는 신중한 계획을 세우고 있음을 보여준다”고 설명했다.

체이널리시스는 “북한은 라자루스그룹의 해킹 공격 때문에 2021년 가상자산 산업에 대한 매우 지능적이고 끈질긴 위협이 됐다”고 지적했다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지