체인널리시스: 북한 해커들이 암호화폐 플랫폼에서 훔친 돈으로 한 일

출처: Chainalysis, Tao Zhu, Golden Finance 작성

암호화폐 해킹은 지난 10년 중 4년(2018년, 2021년, 2022년, 2023년)에 걸쳐 10억 달러 이상의 암호화폐를 도난당하는 등 지속적인 위협으로 남아 있습니다. 2024년은 이 문제가 발생한 지 5년째 되는 해로, 암호화폐 채택률과 가격이 상승함에 따라 도난당할 수 있는 금액도 증가하고 있다는 점을 강조합니다.

2024년 도난당한 금액은 전년 대비 약 21.07% 증가한 22억 달러, 개별 해킹 사고 건수는 2023년 282건에서 2024년 303건으로 증가했습니다.

흥미롭게도 암호화폐 해킹의 강도는 올해 상반기를 전후로 변화했습니다. 올해 중반 범죄 업데이트에서 2024년 1월부터 2024년 7월까지 도난당한 누적 금액은 15억 8천만 달러로 2023년 같은 기간 동안 도난당한 금액보다 약 84.4% 증가했다고 밝혔습니다. 아래 차트에서 볼 수 있듯이, 2021년과 2022년에 비해 30억 달러 이상 높은 7월 말까지 생태계는 순조롭게 궤도에 오르고 있습니다. 하지만 2024년 암호화폐 도난의 증가 추세는 7월 이후 크게 둔화되었으며, 이후 비교적 안정적으로 유지되고 있습니다. 이러한 변화의 잠재적인 지정학적 이유에 대해서는 나중에 살펴보도록 하겠습니다.

피해자의 플랫폼 유형별 탈취 금액을 보면 2024년에도 흥미로운 패턴이 나타납니다. 2021년부터 2023년까지 대부분의 분기에서 탈중앙화 금융(DeFi) 플랫폼이 암호화폐 해커의 주요 표적이었습니다. 디파이 플랫폼은 개발자들이 보안 조치를 구현하는 것보다 빠른 성장과 제품 출시를 우선시하는 경향이 있기 때문에 해커들의 주요 표적이 되기 때문에 더 취약할 수 있습니다.

2024년 1분기에는 여전히 탈취된 자산 중 디파이가 가장 큰 비중을 차지했지만, 2분기와 3분기에는 중앙화된 서비스가 가장 많은 표적이 되었습니다. 가장 주목할 만한 중앙화된 서비스 해킹 사례로는 DMM 비트코인(2024년 5월, 3억 5,500만 달러)과 와지르엑스(2024년 7월, 2억 3,490만 달러)가 있습니다.

이미지 src="https://img.jinse.cn/7335218_watermarknone.png" title="7335218" alt="UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg">

디파이에서 중앙화된 서비스로의 초점 이동은 해커들이 일반적으로 사용하는 개인 키와 같은 보안 메커니즘의 중요성이 커지고 있음을 강조합니다. 2024년에 도난당한 암호화폐 중 개인키 유출이 43.8%로 가장 큰 비중을 차지할 것으로 예상됩니다. 개인 키는 사용자 자산에 대한 액세스를 제어하기 때문에 중앙화된 서비스에서 개인 키 보안은 매우 중요합니다. 중앙화된 거래소가 대량의 사용자 자금을 관리한다는 점을 고려할 때, 개인키 유출의 영향은 치명적일 수 있습니다. 지금까지 발생한 암호화폐 침해 사고 중 가장 큰 규모인 3억 5,000만 달러 규모의 비트코인 해킹 사건만 봐도 개인키 관리가 잘못되거나 적절한 보안이 부족해서 발생했을 수 있습니다.

이미지 src="https://img.jinse.cn/7335219_watermarknone.png" title="7335219" alt="fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg">

개인 키를 탈취한 악의적 공격자는 일반적으로 탈중앙화 거래소(DEX), 채굴 서비스 또는 거래 추적을 난독화하고 추적을 복잡하게 만드는 하이브리드 서비스를 통해 탈취한 자금을 세탁합니다. 2024년에는 개인키 해커의 자금 세탁 활동이 다른 공격 경로를 이용하는 해커의 자금 세탁 활동과 크게 달라질 것으로 예상됩니다. 예를 들어, 개인키를 훔친 해커들은 종종 브릿징 및 하이브리드 서비스를 이용합니다. 다른 공격 벡터의 경우 탈중앙화 거래소는 자금 세탁 활동에 더 일반적으로 사용됩니다.

북한 해커들, 2024년 암호화폐 플랫폼에서 그 어느 때보다 더 많이 훔칠 것

북한과 관련된 해커들은 정교하고 무자비한 전술로 악명이 높으며, 첨단 멀웨어, 소셜 엔지니어링, 암호화폐 절도를 일상적으로 활용하여 국가 지원 작전에 자금을 지원하고 국제 제재를 회피하는 것으로 알려져 있습니다. 미국과 국제 관리들은 북한이 훔친 암호화폐를 대량살상무기와 탄도미사일 프로그램 자금으로 사용하는 것이 국제 안보를 위협한다고 평가합니다. 2023년까지 북한과 연계된 해커들은 20건의 사건을 통해 약 6억 6,050만 달러를 훔쳤으며, 2024년에는 47건의 사건에서 13억 4,000만 달러로 증가하여 도난 금액이 102.88% 늘어날 것으로 예상됩니다. 이 수치는 그 해 도난당한 총 금액의 61%, 총 사고 건수의 20%를 차지합니다.

지난해 보고서에서는 북한이 20건의 해킹 공격을 통해 10억 달러를 훔쳤다는 정보를 공개했습니다. 추가 조사 결과, 이전에 북한 소행으로 추정되었던 대규모 해킹 중 일부는 더 이상 관련이 없을 수 있다고 판단하여 그 금액을 6억 6,050만 달러로 줄였습니다. 그러나 북한의 소행으로 추정되는 다른 소규모 해킹을 확인했기 때문에 사건의 수는 동일하게 유지되었습니다. 저희의 목표는 새로운 온/오프체인 증거를 확보함에 따라 북한과 관련된 해킹 사건에 대한 평가를 지속적으로 재평가하는 것입니다.

이미지 src="https://img.jinse.cn/7335221_watermarknone.png" title="7335221" alt="6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg">

유감스럽게도 북한에서 암호화폐 공격이 점점 더 빈번해지고 있는 것으로 보입니다. 아래 차트에서 익스플로잇 규모에 따른 북한의 공격 성공까지의 평균 시간을 살펴본 결과, 모든 규모의 공격이 전년 대비 감소하고 있는 것으로 나타났습니다. 특히, 500만 달러와 1억 달러 이상의 공격이 2023년보다 2024년에 훨씬 더 자주 발생하고 있어 북한이 대규모 공격에 점점 더 능숙해지고 있음을 알 수 있습니다. 이는 공격당 수익이 5천만 달러 미만이었던 지난 2년간과는 완전히 대조적인 모습입니다.

북한의 활동을 우리가 모니터링하는 다른 모든 해킹 활동과 비교하면 North Korea 이 지난 3년간 대규모 공격의 대부분을 주도한 것으로 나타났습니다. 흥미롭게도 북한은 특히 약 1만 달러 규모의 낮은 금액의 해킹을 집중적으로 감행했습니다.

이미지 src="https://img.jinse.cn/7335223_watermarknone.png" title="7335223" alt="Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg">

이 사건들 중 일부는 암호화폐 및 웹 3.0 기업에 침투하여 네트워크, 운영 및 무결성을 손상시키는 북한 IT 실무자들과 연관되어 있는 것으로 보입니다. 이러한 직원들은 종종 허위 신원, 제3자 채용 에이전트 고용, 원격 근무 기회 조작과 같은 정교한 전술, 기술 및 절차(TTP)를 사용하여 접근 권한을 얻습니다. 최근 사례로, 미국 법무부는 수요일에 미국에서 원격 IT 실무자로 일한 혐의로 북한 국적자 14명을 기소했습니다. 이들은 독점 정보를 훔치고 고용주를 협박해 8,800만 달러 이상을 벌어들였다.

기업은 이러한 위험을 완화하기 위해 신원 조회 및 신원 확인을 포함한 철저한 고용 실사를 우선시하고, 해당되는 경우 강력한 개인 키 보안을 유지하여 중요 자산을 보호해야 합니다.

이러한 모든 추세는 북한이 매우 활발한 한 해를 보냈음을 시사하지만, 대부분의 공격은 연초에 발생했으며, 이전 차트에서 볼 수 있듯이 3분기와 4분기에 전반적인 해킹 활동이 주춤했습니다.

이미지 src="https://img.jinse.cn/7335224_watermarknone.png" title="7335224" alt="dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg">

2024년 6월 말, 블라디미르 푸틴 러시아 대통령과 김정은 북한 국무위원장은 평양에서 정상회담을 열고 공동 방위 협정에 서명할 예정입니다. 올해 들어 러시아는 유엔 안보리 제재에 따라 동결됐던 북한 자산 수백만 달러를 해제하며 양국 간 동맹 관계가 강화되고 있음을 시사했습니다. 한편 북한은 우크라이나에 군대를 파병하고 러시아에 탄도 미사일을 공급했으며 모스크바로부터 첨단 우주, 미사일, 잠수함 기술을 제공받은 것으로 알려졌습니다.

2024년 7월 1일 전후로 북한의 침해로 인한 일일 평균 손실을 비교하면 도난당한 금액이 크게 감소한 것을 알 수 있습니다. 구체적으로 아래 차트에서 볼 수 있듯이 해당 날짜 이후 북한이 탈취한 금액은 약 53.73% 감소한 반면, 비북한이 탈취한 금액은 약 5% 증가했습니다. 따라서 최근 몇 년간 러시아와의 협력을 대폭 강화한 북한이 우크라이나 분쟁에 군사 자원을 투입한 것 외에도 사이버 범죄 활동에도 변화를 준 것으로 보입니다.

2024년 7월 1일 이후 북한의 탈취 자금이 감소한 것은 분명하고 시기적으로 적절하지만, 이러한 감소가 반드시 푸틴의 평양 방문과 관련이 있는 것은 아니라는 점에 주목할 필요가 있습니다. 또한, 12월의 여러 이벤트로 인해 연말에 이러한 패턴이 바뀔 수 있으며 공격자들은 종종 연말연시에 공격을 감행합니다.

사례 연구: 북한의 DMM 비트코인 공격

2024년 북한 관련 해킹의 주목할 만한 사례 중 하나는 일본의 암호화폐 거래소 DMM 비트코인이 해킹을 당한 사건입니다. 약 4,502.9비트코인(당시 3억 5,000만 달러 상당)의 손실이 발생했습니다. 공격자들은 DMM에서 사용하는 인프라의 취약점을 노렸으며, 이로 인해 무단 인출이 발생했습니다. 이에 대응하여 DMM은 그룹사의 지원을 받아 대체 자금을 찾아 고객 예치금을 전액 지급했습니다.

우리는 초기 공격 이후 체인상의 자금 흐름을 분석할 수 있었고, 첫 번째 단계에서 공격자들이 수백만 달러 상당의 암호화폐를 DMM 비트코인에서 여러 중간 주소로 이체한 후 결국 비트코인 코인조인 하이브리드 서버에 도달하는 것을 확인할 수 있었습니다.

이미지 src="https://img.jinse.cn/7335232_watermarknone.png" title="7335232" alt="n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg">

비트코인 코인조인 커밍글링 서비스를 사용하여 탈취한 자금을 성공적으로 커밍글링한 후, 공격자는 여러 브리징 서비스를 통해 자금의 일부를 캄보디아 대기업인 후이오네 그룹과 관련된 온라인 마켓플레이스인 후이오네보증으로 이체했습니다. 사이버 범죄를 조장합니다.

이미지 src="https://img.jinse.cn/7335237_watermarknone.png" title="7335237" alt="3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg">

DMM 비트코인은 2025년 3월까지 자산과 고객 계정을 일본 금융 대기업인 SBI 그룹의 자회사인 SBI VC 트레이드에 이전할 예정이며, 이전은 완료될 예정입니다. 다행히도 다음 섹션에서 살펴볼 새로운 도구와 예측 기술을 통해 이러한 유형의 파괴적인 해킹을 방지할 수 있는 대비책을 마련할 수 있는 방법이 떠오르고 있습니다.

예측 모델링으로 해킹 공격 차단

첨단 예측 기술은 잠재적 위험과 위협을 실시간으로 탐지하여 디지털 생태계를 보호하는 사전 예방적 접근 방식을 제공함으로써 사이버 보안을 혁신하고 있습니다. 탈중앙화 유동성 공급업체인 UwU Lend와 관련된 다음 사례를 살펴보겠습니다.

2024년 6월 10일, 공격자들은 UwU Lend의 가격 예측 머신 시스템을 조작하여 약 2천만 달러에 대한 액세스 권한을 얻었습니다. 공격자들은 플래시 렌딩 공격을 통해 여러 예측기에서 에테나가 스테이킹한 USDe(sUSDe)의 가격을 변경하여 잘못된 가치평가를 초래했습니다. 그 결과 공격자들은 7분 만에 수백만 달러를 빌릴 수 있었습니다. 헥사게이트는 취약점이 악용되기 약 이틀 전에 공격 계약과 이와 유사한 배포를 탐지했습니다.

공격 계약은 익스플로잇 이틀 전에 실시간으로 정확하게 탐지되었지만, 공격 계약의 설계로 인해 익스플로잇된 계약과의 연관성은 즉시 드러나지 않았습니다. 헥사게이트의 시큐리티 프리딕터와 같은 다른 툴을 사용하면 이러한 조기 탐지를 더욱 활용하여 위협을 완화할 수 있습니다. 특히 820만 달러의 손실을 초래한 첫 번째 공격은 후속 공격이 발생하기 몇 분 전에 발생하여 또 다른 중요한 신호를 제공했습니다.

대규모 온체인 공격이 발생하기 전에 이러한 종류의 경고는 업계 참여자들의 보안을 혁신할 수 있는 잠재력을 가지고 있으며, 해킹에 대응하는 것이 아니라 비용이 많이 드는 해킹을 아예 예방할 수 있게 해줍니다.

이미지 src="https://img.jinse.cn/7335238_watermarknone.png" title="7335238" alt="59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg">

아래 이미지에서 공격자들은 탈취한 자금이 OFAC가 승인한 이더리움 스마트 컨트랙트 믹서인 토네이도 캐시에 도달하기 전에 두 개의 중간 주소를 통해 자금을 이체한 것을 확인할 수 있습니다.

이미지 src="https://img.jinse.cn/7335239_watermarknone.png" title="7335239" alt="bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg">

그러나 프로토콜이 항상 효과적으로 작동할 수 있는 적절한 도구를 가지고 있지 않을 수 있으므로 이러한 예측 모델에 액세스하는 것만으로는 해킹에 대한 보호를 보장할 수 없다는 점에 유의할 필요가 있습니다.

암호화폐 보안 강화 필요

2024년 암호화폐 도난의 증가는 업계가 점점 더 복잡해지고 진화하는 위협 환경에 대응해야 할 필요성을 강조합니다. 암호화폐 도난 규모는 아직 2021년과 2022년 수준으로 회복되지는 않았지만, 앞서 언급한 도난의 증가는 기존 보안 조치의 공백과 새로운 악용 방법에 적응하는 것이 중요하다는 점을 강조합니다. 이러한 문제를 효과적으로 해결하기 위해서는 공공 부문과 민간 부문 간의 협력이 필수적입니다. 데이터 공유 프로그램, 실시간 보안 솔루션, 고급 추적 도구, 표적 교육을 통해 이해관계자들은 악의적인 행위자를 신속하게 식별하고 제거하는 동시에 암호화 자산을 보호하는 데 필요한 복원력을 구축할 수 있습니다.

또한 암호화폐 규제 프레임워크가 계속 진화함에 따라 플랫폼 보안과 고객 자산 보호에 대한 조사가 강화될 것으로 보입니다. 업계 모범 사례는 이러한 변화에 발맞춰 예방과 책임을 보장해야 합니다. 암호화폐 업계는 법 집행 기관과 더욱 강력한 파트너십을 구축하고 팀에 신속하게 대응할 수 있는 리소스와 전문 지식을 제공함으로써 도난 방지 역량을 강화할 수 있습니다. 이러한 노력은 개인의 자산을 보호하는 것뿐만 아니라 디지털 생태계의 장기적인 신뢰와 안정성을 구축하는 데에도 매우 중요합니다.