소니부터 바이비트까지: 라자루스 그룹, 암호화폐 슈퍼빌런으로 등극하다
2017년부터 라자루스 그룹(Lazarus Group)이 암호화폐 업계에서 60억 달러(약 8조 6,400억 원) 이상을 탈취하며 가장 악명 높은 해킹 조직으로 떠올랐다.
2월 21일, 라자루스 그룹은 암호화폐 거래소 바이비트(Bybit)에서 14억 달러(약 2조 160억 원)를 훔치는 사상 최대 규모의 해킹을 감행했다. 암호화폐 탐정 ZachXBT는 바이비트 해킹 사건을 8,500만 달러(약 1,224억 원) 규모의 페멕스(Phemex) 해킹과 연결 지으며 라자루스 그룹을 유력한 용의자로 지목했다. 그는 해커들이 빙엑스(BingX)와 폴로니엑스(Poloniex) 해킹에도 연루된 정황을 포착, 북한 사이버 부대의 소행이라는 증거를 제시했다.
보안업체 엘립틱(Elliptic)에 따르면 라자루스 그룹은 2017년부터 암호화폐 업계에서 약 60억 달러를 탈취했다. 유엔 안전보장이사회 연구에 따르면 이 자금은 북한의 무기 개발 프로그램에 사용되는 것으로 추정된다.
역사상 가장 활발한 사이버 범죄 조직 중 하나인 라자루스 그룹의 활동 방식은 북한 정권을 위해 고도로 정교한 초국가적 작전을 수행하고 있음을 보여준다. 라자루스 그룹의 배후는 누구이며, 바이비트 해킹은 어떻게 이루어졌을까? 그리고 이들이 지속적으로 사용하는 위협적인 수법은 무엇일까?
라자루스 그룹, 그들은 누구인가
미국 재무부는 라자루스 그룹이 북한의 주요 정보기관인 정찰총국(RGB)의 통제를 받는다고 밝혔다. 미국 연방수사국(FBI)은 라자루스 그룹(APT38)의 일원으로 의심되는 북한 해커 3명의 신원을 공개했다.
2018년 9월, FBI는 북한 국적자이자 라자루스 그룹의 일원으로 추정되는 박진혁을 역사상 가장 악명 높은 사이버 공격 혐의로 기소했다. 북한 위장 회사 조선엑스포 합작회사에서 근무한 것으로 알려진 박진혁은 2014년 소니 픽처스 해킹과 2016년 방글라데시 은행 해킹(8,100만 달러 탈취)에 연루된 혐의를 받고 있다.
박진혁은 영국 국민보건서비스(NHS)를 포함한 병원들을 마비시킨 2017년 워너크라이 2.0 랜섬웨어 공격과도 관련이 있다. 수사관들은 공유된 악성코드, 도난당한 자격 증명 저장 계정, 북한 및 중국 IP 주소를 숨기는 프록시 서비스를 통해 박진혁과 공모자들을 추적했다.
2021년 2월, 법무부는 전창혁과 김일을 세계에서 가장 파괴적인 사이버 침입에 가담한 혐의로 기소된 사이버 범죄자 명단에 추가했다고 발표했다. 두 사람 모두 라자루스 그룹에서 활동하며 사이버 금융 범죄를 조직하고, 암호화폐를 탈취하고, 북한 정권을 위해 자금을 세탁한 혐의를 받고 있다.
전창혁은 거래소와 금융 기관에 침투하기 위한 악성 암호화폐 애플리케이션을 개발하고 배포하는 데 특화되어 대규모 절도를 가능하게 했다. 김일은 악성코드 배포, 암호화폐 관련 해킹 조정, 마린체인 ICO 사기 조작에 관여했다.
라자루스 그룹의 최대 히트작, 그 전말
바이비트 해킹 몇 주 전, 북한 김정은 국무위원장은 핵물질 생산 시설을 시찰하며 현재 생산 계획을 넘어 핵무기를 확대할 것을 촉구했다고 국영 매체가 보도했다.
2월 15일, 미국, 한국, 일본은 공동성명을 통해 북한 비핵화에 대한 의지를 재확인했다. 북한은 2월 18일 이를 “터무니없다”고 일축하며 핵무력을 강화하겠다고 밝혔다.
사흘 뒤, 라자루스 그룹은 또다시 공격을 감행했다.
보안 업계에서는 라자루스 그룹의 소행이 공식 수사 결과가 나오기 전부터 거의 즉각적으로 인지된다.
암호화폐 보험 회사 페어사이드 네트워크(Fairside Network)의 수사 책임자 판타지(Fantasy)는 코인텔레그래프와의 인터뷰에서 “바이비트 지갑에서 이더리움(ETH)이 빠져나간 지 몇 분 만에, 북한 특유의 특징과 온체인 TTP(전술, 기술, 절차)를 보고 북한(DPRK)과 관련이 있다고 확신했다”고 말했다.
“ERC-20 자산을 여러 지갑으로 분산시키고, 즉시 토큰을 비효율적으로 덤핑하여 막대한 수수료나 슬리피지를 발생시킨 다음, ETH를 대량으로 새 지갑으로 보내는 방식이다.”
바이비트 공격에서 해커들은 정교한 피싱 공격을 통해 바이비트의 보안을 뚫고 거래소가 401,000 이더리움(ETH)(14억 달러)을 자신들이 통제하는 지갑으로 이체하도록 속였다. 블록체인 포렌식 회사 체이널리시스(Chainalysis)에 따르면, 공격자들은 바이비트 지갑 관리 시스템의 더미 버전을 이용해 거래소 자산에 직접 접근했다.
훔친 자금은 중간 지갑으로 분산되어 세탁 작업이 시작되었다. 체이널리시스 수사관들은 훔친 자금의 일부가 탈중앙화 거래소, 크로스체인 브리지, eXch와 같은 비(非)고객확인제도(KYC) 스왑 서비스를 통해 비트코인(BTC)과 다이(DAI)로 전환되었다고 보고했다. eXch는 업계의 개입에도 불구하고 바이비트 해킹과 관련된 불법 자금 동결을 거부한 플랫폼이다. eXch는 북한 자금 세탁 혐의를 부인했다.
도난당한 자산의 상당 부분은 여러 주소에 그대로 남아 있는데, 이는 북한 관련 해커들이 강화된 감시를 피하기 위해 자주 사용하는 전략이다.
TRM 랩스(TRM Labs)에 따르면 북한 해커들은 훔친 자금을 비트코인으로 교환하는 경우가 많다. 비트코인의 UTXO(미사용 거래 출력) 모델은 추적을 더욱 복잡하게 만들어 이더리움의 계정 기반 시스템보다 포렌식 분석을 훨씬 어렵게 만든다. 비트코인 네트워크는 라자루스 그룹이 자주 사용하는 믹싱 서비스의 본거지이기도 하다.
라자루스 그룹의 사회공학적 사이드 프로젝트
북한 해커들은 암호화폐 업계에 대한 공격을 강화하여 2024년에만 47건의 공격으로 13억 4,000만 달러(약 1조 9,296억 원)를 탈취했는데, 이는 2023년의 6억 6,050만 달러(약 9,511억 원)보다 두 배 이상 증가한 수치라고 체이널리시스는 밝혔다.
최근 바이비트 해킹만으로도 북한의 2024년 전체 암호화폐 탈취액을 넘어섰다.
뉴욕에 본사를 둔 체이널리시스는 개인 키 손상을 통한 절도가 암호화폐 생태계에서 가장 큰 위협 중 하나로 남아 있으며, 2024년 전체 암호화폐 해킹의 43.8%를 차지한다고 덧붙였다. 이는 북한 라자루스 그룹과 관련된 3억 500만 달러(약 4,392억 원) 규모의 DMM 비트코인 해킹과 6억 달러(약 8,640억 원) 규모의 로닌 해킹과 같은 대규모 해킹에 사용된 방법이다.
이러한 대규모 해킹이 헤드라인을 장식하는 동안, 북한 해커들은 일회성 횡재에 의존하는 대신 꾸준한 현금 흐름을 제공하는 장기적인 전략도 숙달했다.
판타지는 “그들은 모든 사람, 모든 것, 모든 금액을 노린다. 특히 라자루스 그룹은 바이비트, 페멕스, 알파포와 같은 크고 복잡한 해킹에 집중하지만, 악의적인 가짜 구직 인터뷰와 같이 가치는 낮지만 수작업이 많이 필요한 작업을 수행하는 소규모 팀도 있다”고 말했다.
마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)는 북한 위협 그룹인 “사파이어 슬릿(Sapphire Sleet)”을 암호화폐 절도 및 기업 침투의 핵심 주체로 지목했다. “사파이어 슬릿”이라는 이름은 기술 회사의 날씨 테마 분류법을 따른 것으로, “슬릿”은 북한과의 연관성을 나타낸다. 마이크로소프트 외부에서는 이 그룹이 라자루스 그룹의 하위 그룹인 블루노로프(Bluenoroff)로 더 잘 알려져 있다.
이들은 벤처 투자자와 채용 담당자로 위장하여 피해자를 가짜 구직 인터뷰와 투자 사기에 끌어들여 악성코드를 배포하고 암호화폐 지갑과 금융 데이터를 훔쳐 6개월 동안 1,000만 달러(약 144억 원) 이상을 벌어들였다.
북한은 또한 러시아, 중국 등지에 수천 명의 IT 인력을 배치하여 AI로 생성된 프로필과 도난당한 신분을 이용해 고액의 기술 직종에 취업시켰다. 이들은 내부에서 지적 재산을 훔치고, 고용주를 갈취하고, 수입을 북한 정권으로 보낸다. 마이크로소프트가 유출된 북한 데이터베이스를 통해 가짜 이력서, 사기 계정, 급여 기록을 발견했는데, 이는 AI로 강화된 이미지, 음성 변조 소프트웨어, 신분 도용을 이용해 글로벌 기업에 침투하는 정교한 작전을 드러냈다.
2024년 8월, ZachXBT는 암호화폐 스타트업에 잠입하여 월 50만 달러(약 7억 2,000만 원)를 벌어들이는 21명의 북한 개발자 네트워크를 폭로했다.
2024년 12월, 세인트루이스 연방법원은 14명의 북한 국적자를 제재 위반, 전신환 사기, 자금 세탁, 신분 도용 혐의로 기소했다.
이들은 중국과 러시아에서 운영되는 북한 통제 회사인 연변실버스타(Yanbian Silverstar)와 볼라시스실버스타(Volasys Silverstar)에서 근무하며 기업들을 속여 원격 근무를 위해 고용하도록 했다.
6년 동안 이들은 최소 8,800만 달러(약 1,267억 원)를 벌었으며, 일부는 북한 정권을 위해 매달 1만 달러(약 1,440만 원)를 벌어야 했다.
현재까지 북한의 사이버 전쟁 전략은 세계에서 가장 정교하고 수익성이 높은 작전 중 하나로, 수십억 달러를 북한 정권의 무기 프로그램에 투입하고 있는 것으로 알려졌다. 법 집행 기관, 정보 기관, 블록체인 수사관들의 감시가 강화되고 있음에도 불구하고, 라자루스 그룹과 그 하위 조직은 계속해서 적응하고 전술을 개선하여 탐지를 피하고 불법 수입원을 유지하고 있다.
기록적인 암호화폐 절도, 글로벌 기술 기업에 대한 심층적인 침투, 증가하는 IT 인력 네트워크를 통해 북한의 사이버 작전은 지속적인 국가 안보 위협이 되고 있다. 연방 기소와 수백만 달러의 현상금을 포함한 미국 정부의 다기관 단속은 북한의 자금줄을 끊기 위한 노력이 강화되고 있음을 시사한다.
그러나 역사가 보여주듯이 라자루스 그룹은 끈질기다. 북한 사이버 부대의 위협은 아직 끝나지 않았다.
🔍 추가 정보: 라자루스 그룹 (Lazarus Group)
📌 1. 개요
- 북한 정찰총국(RGB) 산하의 해킹 조직으로 추정되는 사이버 범죄 집단.
- 2010년대 중반부터 활동하며, 소니 픽처스 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 공격 등 굵직한 사이버 범죄에 연루.
- 암호화폐 거래소 및 관련 기업을 대상으로 한 해킹 공격에 집중하며, 막대한 규모의 암호화폐 탈취.
- 탈취한 자금은 북한의 핵 및 미사일 개발 프로그램에 사용되는 것으로 추정.
📌 2. 주요 활동 및 수법
- 암호화폐 해킹: 바이비트, 페멕스, 폴로니엑스, DMM 비트코인, 로닌 등 주요 암호화폐 거래소 및 플랫폼 해킹.
- 사회공학적 기법:
- 피싱 공격: 정교한 피싱 이메일 및 웹사이트를 통해 개인 키 및 계정 정보 탈취.
- 가짜 구직 인터뷰: 벤처 투자자, 채용 담당자 등으로 위장하여 악성코드 배포 및 정보 탈취.
- 위장 취업: AI 생성 프로필, 도난 신분 등을 이용해 기술 기업에 위장 취업하여 내부 정보 탈취 및 자금 횡령.
- 자금 세탁:
- 탈중앙화 거래소(DEX), 크로스체인 브리지, 비(非)고객확인제도(KYC) 스왑 서비스 이용.
- 믹싱 서비스: 비트코인 믹싱 서비스를 통해 자금 추적을 어렵게 만듦.
- 여러 지갑으로 자금 분산: 훔친 자금을 여러 중간 지갑으로 분산하여 세탁.
📌 3. 관련 인물 및 조직
- 박진혁: 2014년 소니 픽처스 해킹, 2016년 방글라데시 은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등에 연루된 혐의로 FBI에 기소.
- 전창혁, 김일: 암호화폐 관련 해킹 및 자금 세탁 혐의로 미국 법무부에 기소.
- 블루노로프(Bluenoroff): 라자루스 그룹의 하위 조직으로, 암호화폐 절도 및 기업 침투에 특화. (마이크로소프트는 “사파이어 슬릿”으로 명명)
- 연변실버스타, 볼라시스실버스타: 중국과 러시아에서 운영되는 북한 통제 회사로, IT 인력을 위장 취업시켜 자금 횡령.
📌 4. 대응 및 전망
- 미국, 한국, 일본 등 국제 공조를 통해 북한의 사이버 범죄 대응 강화.
- FBI, 법무부 등 사법 기관의 수사 및 기소, 제재 조치 지속.
- 암호화폐 거래소 및 보안 업체의 보안 강화 노력.
- 라자루스 그룹은 지속적으로 공격 방식을 진화시키고 있어, 사이버 보안 위협은 계속될 전망.
📌 5. 기타 참고사항
- APT38: 라자루스 그룹의 다른 명칭.
- TTP: 전술(Tactics), 기술(Techniques), 절차(Procedures)의 약자로, 사이버 공격 그룹의 특징적인 공격 방식을 의미.
- UTXO(Unspent Transaction Output): 비트코인의 미사용 거래 출력 모델로, 이더리움의 계정 기반 시스템보다 추적이 더 어려움.