이 블로그 게시물의 이전 버전에서는 해킹된 자금의 이동을 언급할 때 "THORchain"이라고 표기해야 할 곳에 "THORswap"이라고 표기했습니다. 이를 수정했습니다.
2025년 2월 21일, 세계 최대 가상자산 거래소 중 하나인 바이비트는 북한으로부터 전례 없는 사이버 공격을 받아 약 15억 달러의 이더리움 토큰을 도난당했습니다. 이 사건은 이전의 유명 거래소 침해 사고를 능가하는 사상 최대 규모의 공격으로 기록되었으며, 사이버 범죄의 정교함에 대한 심각한 우려를 불러일으키고 있습니다.
바이비트 해킹의 규모도 놀랍지만, 도난당한 자금이 세탁되는 속도가 더욱 놀랍습니다. 48시간 이내에 최소 1억 6천만 달러가 불법적인 경로를 통해 유출되었으며, 2월 23일까지는 총액이 2억 달러를 넘어선 것으로 추정하고 있습니다. 2월 26일까지는 4억 달러 이상이 이동되어 전례 없는 수준의 운영 효율성을 보여주었습니다.
2025년 3월 3일 늦은 오후, 북한은 바이비트 해킹 수익금 세탁의 초기 단계를 완료했습니다. 도난당한 모든 이더리움은 이제 새로운 주소로 이동했으며, 대부분 THOR체인을 사용하는 서비스를 통해 비트코인으로 연결되었습니다. TRM은 바이비트 세탁업자가 관리하는 주소를 추적하고 있습니다. 이러한 신속하고 체계적인 운영은 전례 없는 수준의 운영 효율성을 보여주며, 수사관들에게 심각한 도전 과제를 안겨주고 있습니다.
자금 세탁 과정은 탈중앙화 금융에 크게 의존해 왔습니다(디파이(Defi)) 도구, 특히 탈중앙화 거래소(DEX)와 크로스체인 브릿지를 사용하여 도난당한 자산의 출처를 모호하게 만들었습니다. 공격자들은 탈취한 이더리움의 대부분을 중개자 없이 직접 자산 스왑을 가능하게 하는 탈중앙화 크로스체인 유동성 프로토콜인 THOR체인을 통해 이동시켰습니다. 2월 24일부터 3월 2일 사이에 THOR체인의 활동이 전례 없이 급증했습니다.
이러한 빠른 자금 세탁은 북한이 자금 세탁 인프라를 확장했거나 특히 중국 내 지하 금융 네트워크가 불법 자금을 흡수하고 처리하는 역량을 강화했음을 시사합니다. 이러한자금세탁방지(AML) 규모와 속도는 전통적인자금세탁방지(AML)) 메커니즘이 대량의 불법 거래를 따라잡는 데 어려움을 겪고 있기 때문에 수사관들에게 새로운 도전 과제를 제시하고 있습니다.
역사적으로 북한 사이버 범죄자들은 자금 세탁 과정의 두 번째 단계로 가상자산 믹서에 의존해 왔습니다. 이제 두 번째 단계에 접어들었고, 바이비트의 BTC 초기 트랜치가 와사비와 크립토믹서 등 믹서에 예치되는 것을 확인했습니다. 이러한 믹서들이 계속해서 이 금액을 흡수할 수 있을지는 아직 미지수입니다. 이러한 서비스의 일반적인 거래량은 하루에 수백만 달러에서 천만 달러에 이릅니다. 바이비트 세탁업자들은 몇 시간 만에 그 정도의 금액을 쉽게 입금할 수 있습니다.
그러나 이러한 믹서는 규모가 크더라도 추적 과정에서 의심을 불러일으킬 수 있습니다. 지금까지는 인내심과 의지만 있다면 누구나 바이비트 자금의 흐름을 추적할 수 있었습니다. 하지만 믹서는 대부분의 조사자에게 큰 장애물입니다. TRM과 같은 도구에 접근할 수 있는 조사자는 많은 믹서를 높은 신뢰도로 추적할 수 있지만, 온라인 도구를 사용하는 조사자는 그렇지 않습니다. TRM은 조사자들이 믹서에서 관련 없는 인출을 실수로 추적함에 따라 오탐지 건수가 급증할 것으로 예상하고 있습니다.
자산의 빠른 이동에도 불구하고 전환된 비트코인의 상당 부분이 거의 고정되어 있어 해커가 장외거래(OTC) 네트워크를 통해 대규모 청산 또는 추가 난독화를 준비하고 있음을 시사합니다.
이러한 세탁 전술의 변화는 북한 사이버 활동에 대한 TRM 보고서에 자세히 설명된 대로 북한이 크로스 체인 브리지와 대량 거래 전략에 의존하고 있음을 반영합니다. 이전 절도 사건에서 북한 해커들은 렌 브리지, 애벌랜치 브리지와 같은 플랫폼을 활용하여 자금을 비트코인으로 전환한 후 신바드, 요믹스, 와사비 월렛, 크립토믹서 등의 믹서를 사용했습니다. 시간과 단속 조치에 따라 사용되는 서비스는 바뀌었지만, 브릿지와 믹싱, 그리고 다시 브릿지를 반복하는 기본 전략은 거의 동일하게 유지되었습니다.
TRM의 북한 전문가이자 전 FBI 주제 전문가인 닉 칼슨은 "바이비트 익스플로잇은 북한 정권이 여러 플랫폼에서 빠르고 빈번한 거래로 규정 준수 팀, 블록체인 분석가, 법 집행 기관을 압도하여 추적 노력을 복잡하게 만드는 '플러드 더 존' 기술을 강화하고 있음을 보여줍니다."라고 말합니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
