美FBI 발표 “개인 정보 보호 프로토콜 ‘레일건’ 사용, 절도행위 은닉”
“또 다른 북한 사이버 그룹인 ‘APT38’도 공범…자금 세탁 등 협업”
“라자루스 등 北 해커집단, 벤처자본가, 기업가, 은행으로 가장, 공격”
[애플경제 김향자 기자]지난해 6월 하모니 호라이즌 브릿지를 겨냥한 1억 달러 해킹의 주범이 북한의 악명높은 라자루스 그룹인 것으로 밝혀졌다. 24일 ‘디크립트’에 의하면 미국 FBI는 “당시 하모니 프로토콜 해킹 사건의 배후로 북한 해커조직 라자루스 그룹이 지목됐다”면서 이같은 사실을 공개했다.
해커들은 당시 모두 11건의 거래를 통해 하모니 호라이즌 브리지에서 1억달러를 빼낸 것으로 드러났다. 하모니는 지분 증명 블록체인이며, 호라이즌 브리지는 하모니 네트워크와 이더리움, 바이낸스 체인(BSC) 및 비트코인 등 다른 블록체인 간에 자산을 전송할 수 있게 하는 역할을 한다.
하모니 해킹, 호라이즌 브리지 통해 이더리움으로 변환
사건 발생 직후 하모니 호라이즌 브리지는 피해자들이 속출하면서, 해킹범을 잡는 데 100만 달러(한화 약 13억 원)의 현상금을 내걸기도 했다. 당시 범인들은 하모니 호라이즌 브리지에서 래핑된 이더리움, 에이브, 스시, 스테이블코인인 다이, 테더, USD코인(USDC) 등으로 1억 달러를 빼돌려 이더리움(ETH)으로 변환한 것으로 알려졌다.
그러던 것이 마침내 FBI에 의해 사건 발생 7개월만에 북한을 배후로 둔 해킹그룹 라자루스의 소행으로 밝혀진 것이다. FBI에 따르면 도난당한 ETH 중 6천만 달러 이상이 사건 발생 6개월 후인 1월 13일에 세탁되었다. 이를 통해 FBI는 라자루스 그룹과 또 다른 북한 사이버 그룹인 APT38을 범행의 배후로 확신하고 있다.
이에 따르면 해커들은 그들의 거래가 잘 드러나지 않게 하기 위해 당시 개인 정보 보호 프로토콜인 레일건(RAILGUN)을 사용했다. 그럼에도 불구하고 해커들이 자금을 비트코인으로 바꾸려고 시도하면서 그 행태가 드러나 자금의 일부가 동결되고 거래소에 의해 회수된 바 있다. 그 결과 11개 이더리움 주소로 미회수 자금이 전송됐다.
FBI “북한 암호화폐 절도․세탁, 지속적 추적, 억제”
FBI는 이번 사건을 계기로 “북한의 탄도미사일과 대량살상무기(WMD) 프로그램을 지원하는 데 사용되는 북한의 암호화폐 절도와 세탁을 지속적으로 식별하고 억제할 것”이라고 밝혔다. 또 “북한 정권이 수익 창출을 위해 벌이고 있는 사이버 범죄와 암호화폐 절도를 포함한 불법적인 활동들을 계속해서 폭로하고 퇴치할 것”이라고 강조했다.
지난 6월 하모니 해킹 직후 블록체인 분석가들은 그 수법과, 라자루스 그룹이 저지른 이전 해킹수법을 비교한 결과 라자루스 그룹의 소행으로 확정했다. 미국 정부는 이전에도 라자루스 그룹의 위협을 경고하곤 했지만, 공식적으로 하모니 해킹이 그들이 소행이라고 단정하진 않았다.
‘디크립트’는 “라자루스의 해킹 수법은 레이어1 블록체인인 하모니를 이더리움, 비트코인, 바이낸스 체인으로 연결하는 교차 체인 호라이즌 브리지를 목표로 한 점이 특징”이라며 “이 전략은 지난 4월 플레이투어 암호화 게임 ‘액시 인피니티’가 사용하는 이더리움 사이드체인 ‘로닌 네트워크’의 6억2200만 달러를 대거 해킹했던 것과 같은 라자루스 그룹의 이전 수법과도 유사한 것”이라고 지적했다.
AP통신도 “2017년 이후 라자루스그룹과 APT38 등 북한 해커그룹이 12억달러 규모의 암호화폐를 탈취한 것으로 추정된다”고 보도해 이같은 가능성을 뒷받침하고 있다. 또 블록체인 분석업체 ‘체인 애널리틱스’는 “해킹으로 자금을 탈취당한 암호화폐 프로젝트 수가 2022년엔 ‘역대 최다’를 기록했다”고 밝히기도 했다.
“2017년 이후, 北 해커들 12억 달러 코인 탈취”
한편 북한과 연계된 사이버 단체들도 최근 해킹 활동을 크게 확대하고 있는 것으로 알려지고 있다. ‘디크립트’는 “지난해 12월 말, 한 보고서는 라자루스 그룹이 벤처 자본가, 잠재적 고용주, 은행등으로 가장하는 경우가 많다고 경고했다”고 환기시켰다.
이에 따르면 여러 가지 스피어피싱 메시지가 암호화폐 업체 직원들에게 전송되면서 해킹이 시작된다. 표적인 된 직원들은 흔히 시스템 관리나 소프트웨어 개발에 종사하는 경우가 많다. 또 지난 4월에 발표된 미국 연방정부 사이버 보안 경보에 따르면. 해커들은 흔히 고임금이나 높은 연봉을 보장하는 채용 공고로 위장하여, 멀웨어가 포함된 암호화폐 애플리케이션을 다운로드하도록 유인하곤 한다.
美 정부, 해커 도구 ‘코인 믹싱’ 규제…‘논란’도
이러한 암호화폐 공격 수법에 대응하여 미 연방 정부는 사용자가 암호화폐 거래의 공개 경로를 잘 식별하지 못하도록 하는 도구인 ‘코인 믹싱’을 규제하기도 했다. 지난해 8월 미국 재무부는 이더리움의 이같은 코인 믹서인 ‘토네이도 캐시’ 등의 도구와 관련된 많은 디지털 지갑 주소를 폐쇄했다. 이는 라자루스 그룹이 이전 해킹으로부터 탈취한 자금을 세탁하기 위해 합법 거래로 가장하기 위한 도구로 지목되었기 때문이다.
그러나 미 정부의 이러한 움직임은 암호화폐 커뮤니티에서 “사용자의 사생활을 불필요하게 위협하는 불법적인 간섭”이라는 비난을 많이 받고 있는 실저이다. 오버 리치라고 널리 비난받았다. 이에 최근 암호화폐 정책 관련 비영리 단체인 ‘코인 센터’가 이를 금지해달라는 소송을 진행 중이어서 귀추가 주목된다. 이런 일련의 사건은 모두 라자루스 등 북한 해커들이 그 단초가 된 셈이다.