“북한은 탄도미사일 개발 등 군사 프로그램을 위한 자금 조달 수단으로 암호화폐 해킹을 활용한다. 암호화폐 해킹으로부터 자유로운 나라는 없다. 한국도 마찬가지라는 점을 인지하고 대비해야 한다.”
블록체인 데이터 분석 기업 체이널리시스의 앤드루 피어맨 국가안보정보 총괄은 최근 서면 인터뷰에서 지난 2월 발생한 역대 최대 규모의 암호화폐 탈취 사건의 범인으로 지목된 북한의 해킹 집단 라자루스를 언급하며 “한국도 안전 지역이 아니다”라며 이렇게 말했다. 라자루스는 두바이에 본사를 둔 암호화폐 거래소 바이비트를 공격해 14억6000만달러(약 2조700억원) 상당의 이더리움을 훔쳤다.
2024년 암호화폐 업계 전체 해킹 피해 금액은 약 22억달러(약 3조1340억원)에 달한다. 이 중 라자루스가 탈취한 금액이 61%에 달한다. 2016년 체이널리시스가 집계를 시작한 이래 북한 일당의 소행은 더 다양하고 정교한 수법으로 전 세계 암호화폐 지갑을 노리고 있다.
하지만 암호화폐와 블록체인 기술이 해킹에 취약하다거나 주로 불법 활동에 사용된다는 건 오해다. 새로운 기술이 주목받을 때면 언제나 이를 악용하기 위한 세력이 있었다. 국경 간 이동을 가능하게 하는 높은 유동성과 빠른 거래라는 블록체인 특성 때문에 암호화폐는 범죄자의 목표가 되지만, 동시에 블록체인의 투명성이라는 특성 덕분에 해킹을 식별하고 나아가 도난당한 블록체인을 추적할 수 있다는 게 피어맨 총괄의 설명이다.
체이널리시스는 2014년 설립됐으며 미국 법무부 및 상품선물거래위원회(CFTC) 등 규제 기관과 협력하고 있다. 다음은 피어맨 총괄과 일문일답.
암호화폐 해킹에도 트렌드가 있고, 변화하고 있다고 하던데.
“최근 암호화폐 해킹에서는 해커가 주요 표적을 변경하고 있다. 2021년부터 2023년까지 대부분 분기에서 탈중앙화 금융 플랫폼이 주요 공격 대상이었다. 그러나 2024년 2분기와 3분기부터 주요 공격 대상이 탈중앙화 금융에서 중앙화 거래소로 이동하는 경향이 나타났다. 대표적인 사례로는 DMM 비트코인 해킹 사건에서 3억500만달러(약 5000억원), 와지르X(WazirX) 해킹 사건에서 2억3490만달러(약 3400억원) 탈취가 있다.”
해커가 노리는 암호화폐는 어떤 종류인가.
“해커는 특정 암호화폐만을 노리지는 않는다. 공격할 취약점이 있는지가 공격할 암호화폐를 정하는 기준이다. 또한 해커는 자금을 현금화하기 전에 일반적으로 세탁 과정을 거치기 때문에 특정 암호화폐에 국한하지 않는다. 불법적으로 얻은 자금을 다른 암호화폐로 전환하고, 믹서와 브리지를 통해 이동시키는 방식으로 자금을 세탁한다.”
북한의 라자루스가 주도한 해킹이 한두 건이 아니던데.
“북한은 현 암호화폐 생태계에서 가장 정교하고 지속적인 위협으로 꼽힌다. 암호화폐 시장 초기에는 소니픽처스와 워너크라이 사이버 공격 사건으로 악명을 떨치기 시작했고 이후에는 높은 수익을 올릴 수 있는 암호화폐 범죄에 집중하기 시작했다. 북한과 라자루스는 2018년 이래 연평균 2억달러(약 2900억원) 이상의 암호화폐를 탈취하고 세탁하며 불법 자금을 거둬들이고 있다. 바이비트 이전 가장 규모가 큰 사건이었던 로닌 브리지 해킹을 통해서는 6억1500만달러(약 9000억원)를 탈취했다.”
라자루스가 탈취한 암호화폐는 어떻게 사용되는가.
“유엔에 따르면, 북한은 국제 제재를 회피하고 대량살상무기(WMD) 및 탄도미사일 개발 같은 군사 프로그램을 위한 자금 조달의 주요 수단으로 암호화폐 해킹을 활용하고 있다. 일반적인 사이버 범죄자가 개인적인 이익을 위해 활동하는 것과 달리, 북한 해킹 활동은 국가 차원의 지원을 받는 작전으로, 북한 사이버 부대는 정부 자원과 전략적 목표를 활용해 정교한 대규모 해킹 공격을 수행할 수 있다.
라자루스 그룹과 기타 북한 연계 해킹 조직은 중앙화 거래소, 탈중앙화 금융 프로토콜, 개인 지갑을 반복적으로 표적으로 삼아 역사상 가장 큰 규모로 암호화폐를 탈취해 왔다. 탈취된 자금은 중간 지갑, 탈중앙화 거래소, 믹싱 서비스, 크로스체인 브리지 등을 거치는 복잡한 자금 세탁 과정을 통해 출처를 숨기려 하며, 이는 자금 회수 노력을 더욱 어렵게 한다.”
북한 관련 해커의 공격은 어떻게 이뤄지는가.
“북한 관련 해커는 해킹 기술과 탈취한 자금 세탁 등 모든 분야에서 수준이 높고 정교하다. 이들은 암호화폐를 탈취하기 위해 피싱 미끼, 코드 익스플로잇, 악성 코드 그리고 고급 ‘사회공학 기법’을 활용해 표적 조직에 침투한 후 자금을 자신들이 통제하는 주소로 유출한다.
해킹 작전의 사회공학 기법은 피해 조직 내 개인정보를 조작하거나 기만해 시스템에 대한 무단 접근을 얻는 방식을 말한다. 이 기법을 여러 번 활용해 정보 수집을 통해 시스템의 취약점을 찾아내고, 프로토콜의 허점을 공격하는 방식이다. 바이비트 해킹 사건이 이런 사회공학 기법 공격이 활용된 대표적인 사례다.”
탈취한 암호화폐는 어떻게 세탁되며, 추적이 가능한지 궁금하다.
“해커는 암호화폐를 훔친 후 출처를 숨기기 위해 복잡한 자금 세탁 기법을 활용한다. 대표적으로 다수의 중간 지갑으로 자금을 이동시켜 수천 건의 소액 거래로 분산시키고 위장한다. 또 탈중앙화 거래소에서 자산을 교환해 추적 난도를 높이고, 고객확인제도(KYC)가 없는 즉시 환전 서비스를 통해 자산을 교환해 출처와 목적지를 불분명하게 조작하는 등 다양한 방법을 사용한다.
다만 여러 번의 자금 세탁을 거치더라도 블록체인 내에서 이뤄지는 거래는 모두 흔적을 찾을 수 있다. 즉 추적 난도가 높아질 뿐 대부분 추적이 가능하다는 뜻이다. 3월 기준 체이널리시스는 탈취된 자금 90% 이상을 추적 중이다. 탈취 자금 대부분은 비트코인으로 변환돼 수천 개의 주소로 전송된 상태다.”
탈취된 암호화폐를 회수하는 것은 가능한가.
“도난당한 자산을 회수하고 동결하는 것은 충분히 가능하다. 체이널리시스는 여러 국제 조직과 함께한 다수의 자산 회수 사례가 있다. 2022년에는 법 집행 기관 및 암호화폐 업계의 주요 관계자와 협력해 액시 인피니티(Axie Infinity) 해킹 사건에서 북한 연계 해커가 탈취한 3000만달러(약 434억원) 상당의 암호화폐를 압수하는 데 성공했다. 더 최근에는 한국 당국이 하모니 브리지(Harmony Bridge) 해킹 사건과 관련된 100만달러(약 14억5000만원) 상당의 도난 자금을 추적하고 회수하는 데 성공했다.
그러나 이런 회수에도 국경 간 법 집행 속도 지연과 산업과 정부 간 협력 부족 등의 문제가 여전히 남아있다. 따라서 암호화폐 거래소, 규제 기관, 사이버 보안 기업 간 실시간 데이터 공유 체계를 구축해야 하고, 글로벌 규제의 일관성을 확보하는 것이 필수다.”
투자자나 금융 당국이 암호화폐 해킹에 대비할 방법이 있을까.
“변화하는 해킹 기법에 빠르게 적응하기 위해서는 공공 및 민간 부문 간 협력이 필수적이다. 특히 데이터 공유 이니셔티브, 실시간 보안 솔루션, 고급 추적 도구, 맞춤형 보안 교육을 통해 주요 이해 관계자가 악성 행위를 신속히 식별하고 무력화할 수 있도록 지원해야 한다. 또한 산업 전반의 보안 모범 사례도 빠르게 발전해야 하며, 보안 사고 예방과 책임성 확보를 동시에 고려해야 한다. 궁극적으로는 각국 법 집행 기관과 협력을 강화하고, 보안 팀에 신속한 대응을 위한 리소스 및 전문 지식을 제공하는 것이 중요하다.”