북한 사이버 공격에 관한 CNAS 보고서의 주요 시사점

CNAS, 북한 사이버 공격에 따른 가상자산 관련 보고서 발표

지난주 신미국안보센터(CNAS)는 "암호화폐 추적"이라는 제목의 논문을 발표했습니다: 블록체인 분석을 이용한 북한 해커의 강점과 취약점 평가"라는 제목의 보고서를 발표했습니다. TRM과 공동으로 작성한 이 보고서는 북한이 가상자산 기업을 공격하고 훔친 자금을 세탁하는 방식에 초점을 맞추고 있습니다. 보고서에 따르면 "2014년 이후 북한이 주도하는 사이버 범죄 조직인 라자루스 그룹은 불량 해커 팀에서 국가 주요 금융 네트워크를 손상시키고 수억 달러 상당의 가상자산 훔칠 수 있는 사이버 범죄자 및 외국 계열사로 구성된 숙련된 군대로 변모했다."고 합니다. 우리는 북한이 디지털 전장에 뛰어들었고 가상자산 그 표적이라는 것을 알고 있습니다. 북한이 정교한 해킹 기술을 사용하고 사이버 보안 통제를 회피하기 위해 사회 공학에 의존한다는 것도 알고 있습니다. 하지만 북한 사이버 범죄자들이 훔친 자금을 세탁하는 방식에 대해 이 보고서를 통해 무엇을 알 수 있을까요?

주요 요점:

• 북한 사이버 공격자들은 무기 확산 및 기타 불안정한 활동에 자금을 조달하기 위해 가상자산 기업을 공격하고 있습니다.
• 공격과 이와 관련된 자금 세탁의 목표는 훔친 가상자산 가능한 한 빨리 사용 가능한 법정 화폐로 바꾸는 것입니다.
• 북한 사이버 범죄자들은 해킹을 거듭할수록 훔친 자금을 세탁하는 방법을 더욱 정교하게 발전시켜 왔습니다. 그들은 이제 여러 가지 혼합 서비스 및 기타 난독화 기술을 일반적으로 사용하지만, 여전히 법 집행 기관이 이용할 수 있는 실수를 저지르고 있습니다.

북한이 가상자산 비지니스 표적으로 삼아 공격하는 사례가 늘고 있습니다.

북한 사이버 범죄자들은 전례 없는 속도와 규모로 가상자산 기업에 대한 사이버 공격을 활발히 진행하고 있습니다. 실제로 **최근 TRM 블로그 게시물에서 설명한 것처럼 악명 높은 라자루스 그룹은 "SnatchCrypto"라는 캠페인을 통해 중소 규모의 가상자산 기업을 대상으로 정교한 전략을 실행하고 있습니다. 사이버 보안 업체 카스퍼스키의 보고서에 따르면, 북한 공격자들은 이러한 공격을 수행하기 위해 성공한 가상자산 스타트업을 스토킹하고 연구하고 있다고 합니다.

암호화폐 거래소 및 기타 기업에 대한 공격은 새로운 것이 아닙니다. 전직 FBI 북한 전문가이자 현재 TRM의 글로벌 조사팀 소속인 닉 칼슨은 "북한은 미국과 외국 파트너들의 오랜 제재 캠페인으로 인해 대부분의 측면에서 글로벌 금융 시스템과 단절되어 있습니다. 그 결과 북한은 암호화폐를 훔치기 위해 디지털 전장에 뛰어들었습니다. 이러한 캠페인은 본질적으로 인터넷의 속도를 이용한 은행 강도이며, 무기 프로그램, 핵 확산 및 기타 불안정한 활동에 자금을 조달하는 데 사용되었습니다."

북한이 국제 규범을 무시하고 절도를 계속하는 데에는 경제적 인센티브가 매우 강력합니다. 최근 몇 년 동안 이러한 절도를 통해 북한은 수억 달러의 순수익을 얻었습니다. 이 수익은 북한의 전체 경화 수입에서 막대한 비중을 차지하며, 특히 코로나19 이후 무역 고립이 심화된 시기에 더욱 그렇습니다. 해커들은 표적의 활동을 주의 깊게 관찰하고 공격할 적절한 순간을 기다리면서 이러한 작전을 수행하는 데 수개월이 걸리는 경우가 많습니다.

다른 지역의 해커들과는 달리 북한 해커들은 체포나 범죄인 인도에 대한 실질적인 위협이 없으며, 다른 나라에서는 상상할 수 없는 위험을 감수할 수 있습니다. 예를 들어, 믹싱 서비스, 비준수 거래소, 기타 온체인 난독화 기술을 사용하는 경우도 있지만, 라자루스는 가능한 한 빨리 공개적으로 자금을 이동하는 경우가 많습니다. 북한 암호화폐 절도범의 핵심은 거래소나 법 집행 기관의 단속을 피할 수 있을 만큼 충분히 빠르고 안전하게 암호화폐를 법정화폐로 전환할 수 있을 정도로만 난독화하는 것입니다. 그렇다면 규정을 준수하는 가상자산 거래소는 어떻게 이러한 위협을 막을 수 있을까요? 거래소가 블록체인 인텔리전스 도구를 통해 해커가 통제하는 주소에 라벨을 붙이면 해당 주소의 거래를 선별하고 거부할 수 있습니다. 사이버 공격과 같이 빠르게 움직이는 시나리오에서는 해커와 연결된 주소를 거의 실시간으로 블랙리스트에 올리기 위해 거래소 조사관들 간에 데이터를 공유하는 경우가 많습니다.

북한 사이버 범죄자들은 난독화보다 속도에 최적화합니다.

2018년 4월에 발생한 Gate.io 해킹 사건에서 미국 Department of Justice (DOJ(미국 법무부))가 북한 사이버 범죄자들을 기소하고 민사 몰수 소송을 제기한 사건에서 북한 해커들은 약 2억 3천만 달러 상당의 암호화폐 자산을 훔쳤습니다. 이 특정 해킹에서 북한 해커들은 "훔친 자금을 빠르게 세탁하고 거래소로 재통합한 후 라자루스 계열 지갑으로 이체하는 자동화 스크립트"를 프로그래밍했으며, 이는 많은 수의 동시 거래로 인해 분명하게 드러났습니다. 자동화 및 필링 체인(대규모 거래를 난독화하기 위해 일련의 소규모 거래를 분산시킨 후 통합하는 것)과 같은 기타 난독화 기법도 보였지만, 이 작업의 진정한 핵심은 향후 해킹에 대한 잠재적 어트리뷰션 희생해서라도 가상자산 최대한 빨리 법정화폐로 전환하는 것이었습니다.

라자루스의 핵심은 반복적으로 입증된 바와 같이, 자금을 빠르게 법정 화폐로 전환하여 정권과 불안정한 활동에 자금을 조달하는 데 사용하는 것입니다. 라자루스는 이러한 목표를 달성하는 데 필요한 만큼만 난독화를 사용하는 것으로 보입니다. 이 보고서에서 연구한 세 가지 해킹 중 가장 정교한 것으로 알려진 쿠코인 해킹의 경우, "북한 해커들은 거래 수수료가 필요한 토네이도 캐시의 익명성 유지 기능을 사용하지 않기로 결정했는데, 이는 최종 청산을 위해 훔친 이더리움을 최대한 많이 유지하고자 했기 때문일 것"이라고 합니다.

북한 사이버 범죄자들은 시간이 지날수록 더욱 정교해지고 있습니다.

2018년 공격 이후, 북한 사이버 범죄자들은 온체인 세탁을 더욱 정교하게 진행했습니다. 이러한 개선은 미국 수사기관과 블록체인 분석 정교함 증가와 함께 이루어졌으며, 이들에 의해 주도되었을 가능성이 높습니다. 2019년 드래곤엑스 해킹 사건에서 라자루스는 "믹싱 서비스를 통해 훔친 암호화폐 자산을 유통시켰는데, 이는 가상자산 환경과 그 도구에 대한 지식이 높아졌음을 시사합니다." 라자루스는 드래곤엑스 해킹으로 도난당한 BTC를 익명화하기 위해 상당한 노력을 기울였지만, 이더리움과 트론을 포함한 다른 자산은 최소한의 범위에서만 세탁했습니다.

이러한 추세는 2020년 쿠코인 해킹으로 2억 8천만 달러 상당의 다양한 암호화폐가 도난당하는 사건에서도 계속되었습니다. 보고서에 따르면, "쿠코인에서 도난당한 자산의 세탁은 이전의 라자루스 공격과는 확연히 달랐습니다. 과거 침입 당시에는 부분적으로 우연적으로 난독화를 시도했던 반면, 이번에는 북한 해커들이 여러 가지 고급 기술을 사용해 자신들의 활동을 포괄적으로 은폐하려고 노력하는 등 더욱 치밀함을 보였다"고 설명했습니다. 구체적으로 보고서는 라자루스 그룹이 훔친 자금을 세탁하기 위해 토네이도 캐시를 포함한 세 가지 믹싱 서비스를 사용했으며 탈중앙화 금융(디파이(Defi)) 프로토콜을 사용하여 체인상의 자금 흐름을 난독화했습니다.

훈련된 북한 사이버 범죄자들도 실수를 저지르지만, (그들에겐) 괜찮습니다.

각 공격이 가상자산 훔치는 데는 성공했지만, 법 집행 기관과 가상자산 업계에 교훈이 될 수 있는 실수가 있었으며 북한 행위자들이 자금 세탁보다 해킹에 상대적으로 더 능숙하다는 것이 분명해졌습니다. TRM의 블록체인 인텔리전스 또한 북한 행위자들이 거래를 완전히 익명화하지 않고, 혼합 서비스를 피하고, 간단한 방법만을 사용하여 자금을 유동화하려고 시도하면서 비 비트코인 및 비 이더리움 자산을 현금화할 의향이 있다고 지적했습니다. 보다 정교한 쿠코인 해킹에서도 북한 행위자들은 토네이도 캐시의 특정 익명화 기능을 사용하지 않았으며, 그 결과 "조사관들은 토네이도 이후 인출을 서로 연결할 수 있었고, 쿠코인 도난 규모를 고려할 때 궁극적으로 원래 해킹과 연결할 수 있었다"고 합니다.

결론

CNAS 보고서는 해킹에 대한 분석뿐만 아니라 자금의 흐름을 추적하고 추적하여 북한 행위자들이 자금을 세탁한다는 사실뿐만 아니라 점점 더 정교해지는 온체인 자금 세탁 기술을 통해 어떻게 자금을 세탁하는지에 대한 정보를 제공한다는 점에서 중요한 의미를 갖습니다. 그럼에도 불구하고 목표는 간단합니다. 해킹당한 거래소에서 훔친 자금을 가능한 한 빨리 사용 가능한 법정 화폐로 옮기는 것입니다. 북한 사이버 범죄자들과 그들을 통제하는 정권이 이러한 절도 행위에 대해 실질적인 처벌을 받지 않는 한, 이러한 범죄는 계속 확산될 것입니다. 그러나 블록체인의 특성상 수사관들은 자금의 흐름을 추적하고 추적할 수 있으며, 그 결과 범죄를 저지르기 위한 경쟁이 치열해질 것입니다. 북한 사이버 범죄자들이 더욱 정교해짐에 따라 차세대 블록체인 인텔리전스 도구와 이를 사용하는 수사관들도 더욱 정교해지고 있습니다.

‍