Category: 북한해킹

美 ‘北 가상화폐’ 전담부서 만들었다… 초대 국장 최은영 검사는 누구…‘아태협’ 대북 코인과 美 그리피스 수사 확대되나

美 ‘北 가상화폐’ 전담부서 만들었다… 초대 국장 최은영 검사는 누구

법무부, 초대 국장에 최은영 검사 임명

가상 화폐 수사 및 기소까지 전담

미국 법무부는 17일(현지 시각) 불법 가상 화폐 사기 수사를 전담할 부서를 신설하고 이 부서 수장에 한국계 여성 연방검사를 임명했다고 밝혔다. 북한과 이란, 중국, 러시아 등 적성 국가 및 사이버 해커들의 범죄가 급증하자 이에 대응할 인력 및 역량을 확충하겠다는 차원이다.

법무부는 이날 보도자료에서 “법무부는 이날 국가 가상화폐 단속국(National Cryptocurrency Enforcement Team·NCET)의 국장으로 최은영 검사를 임명하기로 했다”며 “최 검사는 관련 부서 내에서 10년 가까이 근무한 경험이 있는 베테랑 검사로, 가장 최근에는 리사 모나코 법무차관의 선임 보좌관 역할을 해왔다. 오늘부터 풀타임으로 NCET 국장 업무를 맡게 될 것”이라고 했다. 그는 최근까지 미국 최강의 검찰 조직으로 꼽히는 뉴욕 남부 연방지방검찰청(SDNY)에서 관련 금융 수사를 진행해왔다.

법무부 케네스 폴라이트 차관보는 “우리는 사이버 공격과 랜섬웨어, 갈취와 온라인 절도 및 사기, 그리고 범죄 수익금 세탁 등을 목격해왔다”며 “NCET는 이러한 기술과 관련된 범죄의 증가에 대처하기 위한 법무부의 노력의 중심점이 될 것”이라고 했다.

미국 국가 가상자산 단속국 신임 국장에 한국계 최은영 검사 임명돼

[일요신문] 17일 미국 법무부가 국가 가상자산(크립토커런시) 단속국(National Cryptocurrency Enforcement Team·NCET)을 신설하고, 신임 국장으로 한국계 최은영 연방검사를 임명했다. 최은영 국가 가상자산 단속국 신임 국장은 하버드대와 하버드 로스쿨을 졸업한 뒤 뉴욕 남부지검 검사보로 근무하며 가상자산 수사 분야에서 경력을 쌓았다.

미국 법무부의 이 같은 조치는 북한과 이란, 중국과 러시아 등 경쟁국의 사이버 범죄 위협에 대응하기 위한 조치다. 17일 리사 모나코 미국 법무부 차관은 가상자산 및 기타 디지털 자산의 악용을 식별·제거하기 위한 역할을 할 국가 가상자산 단속국을 신설하고 최 검사를 초대 국장으로 임명했다고 밝혔다.

미국 법무부에 따르면 최 신임 국장은 2014년 미국 최대 은행인 JP모건체이스의 해킹 사건에서 선임 검사 역할을 했다고 알려졌다. 최 신임 국장은 최근까지 리사 모나코 차관의 선임 보좌관 역할을 맡다가 이번에 국장 자리에 선임됐다.

김태현 기자 toyo@ilyo.co.kr

美법무부, 가상화폐범죄 전담부 신설… 초대 국장에 한국계 최은영 검사

‘아태협’ 대북 코인과 美 그리피스 수사

현재 서울중앙지검은 지난 정부에서 국내 가상화폐거래소를 거쳐 해외로 송금된 수상한 해외송금 10조원(약 72억2000만달러)의 출처를 쫓고 있다. 수상하게 해외로 빠져나간 10조원이 있다는 사실은 지난 9월 22일 금융감독원의 조사를 통해 드러났다. 여당은 정권 초부터 이 중 일부가 북으로 넘어갔을 가능성을 제기해 왔다. 해외로 송금된 수상한 자금 10조원이 ‘대북 송금’의 단서일지 모른다는 것이다.

이런 의혹과 관련해 지난 10월 11일 금융감독원 국정감사에서 국민의힘 윤한홍 의원은 가상화폐를 통한 북한 내 외화 유입 가능성을 제기했다. 윤 의원은 “최근 이재명 대표 최측근이 있던 아태평화교류협회가 대북 코인을 발행해 사실상 북한으로 (돈이) 가기 위한 우회 송금을 택했다”며 “대북 코인이 현금화해 북한으로 돈이 넘어가는 상황을 지금부터라도 집중해 발견해야 한다”고 주장했다.

수상한 해외 송금 의혹 역시 이재명 더불어민주당 대표를 겨냥하고 있는 셈이다. 그런데 대북송금 의혹과 관련해 미국의 버질 그리피스(Virgil Griffith) 사건이 중요한 연결고리로 주목받고 있다.

이더리움 개발자 그리피스의 평양 발언

쌍방울그룹과 유착 의혹이 있는 민간단체 아태평화교류협회(이하 아태협)는 미국에서 대북 제재 위반으로 처벌받은 그리피스가 개발에 참여한 ‘이더리움’을 기반으로 가상화폐 10억개를 발행한 것으로 최근 알려졌다. 쌍방울그룹은 이재명 대표가 2018년 친형 강제 입원 의혹 관련 발언으로 공직선거법상 허위사실 공표 혐의로 재판을 받을 당시 변호사비를 대납했다는 의혹을 받고 있다. 이재명 경기지사 시절 경기도의 대북사업을 총괄한 이화영 전 경기도 평화부지사는 쌍방울그룹으로부터 2억원 가까운 뇌물을 받은 혐의로 구속된 상태다.

그리피스와 아태협의 연결고리로 알려진 가상화폐 ‘이더리움’은 전 세계적으로 알려진 기술로 이것만으로 둘 사이를 엮는 것은 무리가 있다. 그럼에도 주간조선이 입수한 그리피스 사건 당시 미국 검찰의 구형요청서(sentencing memorandum)를 보면 그리피스 사건에 왜 주목해야 하는지 알 수 있다. 그리피스는 미국 정부 승인 없이 무단으로 평양을 방문해 가상화폐 콘퍼런스에 참석했다는 혐의로 2019년 11월 미국 수사당국에 체포되어 지난 4월 12일 63개월 실형을 선고받았다.

미국 검찰의 구형요청서를 보면 그리피스의 범죄사실이 자세히 나와 있다. 2019년 4월 북한 평양으로 무단 방문한 그리피스는 콘퍼런스에 참석해 가상화폐로 북한에 대한 국제사회의 제재를 피할 수 있다며, “미국은 블록체인을 통한 금전 지불을 막을 수 없고, 유엔은 거래를 막을 수 없다”고 강연했다. 구형요청서에는 당시 강연 장면 사진이 첨부되어 있는데 그리피스는 화이트보드에 북한 화폐(KPW)를 인터넷을 통해 해외로 빼돌리는 구조를 직접 그려주면서 설명한다. 그리고 강연 마지막에 ‘절대 제재받지 않는다(No Sanctions!)’며 웃는 이모지까지 그렸다.

구형요청서에서 특히 주목해야 하는 것은 그리피스의 범죄 증거로 제시된 내용 가운데 상당 부분이 한국 측 인사들과의 이메일 자료를 근거로 하고 있다는 것이다. 다만 실명은 공개되지 않았다.

지난 10월 6일 국정감사에서 민주당 김의겸 의원은 가상화폐 이더리움 개발자 그리피스와 에리카 강이라는 한국 여성이 2018년 6월 주고받은 이메일을 공개했다. 이날 김 의원이 공개한 자료는 그리피스를 수사하고 기소한 뉴욕남부연방검찰이 법원에 제출한 문건 중의 하나로 구형요청서에도 등장한다. 김 의원이 공개한 이메일은 당시 재판에서 증거로 제출된 자료 중 하나로 2018년 6월 28일 에리카 강과 그리피스가 주고받은 것이다. 여기에는 ‘서울시장(당시 박원순 시장)이 한국 블록체인 산업에 큰 관심을 가지고 있다’ ‘7월 23일 크립토서울이 주최하는 VIP 서밋 코리아 행사에 서울시장과 성남시장(당시 이재명 시장)이 참석할 것’이라는 내용이 등장한다. 에리카 강은 구형요청서에서 ‘CC-4’로 지칭된 인물이다. 당시 김 의원이 자료를 공개한 이유는 지난 6월 29일부터 7월 7일까지 한동훈 법무부 장관의 미국 출장 목적이 이재명 대표를 비롯한 민주당 인사들이 연루된 사건 수사용이었다는 주장을 뒷받침하기 위해서였다. 당시 김 의원은 “법무부 장관이 사건을 지휘한 정도가 아니라 자신이 검사 본능을 발휘해 직접 수사하고 또 부장검사를 지휘한 것은 검찰청법 8조 위반”이라고 주장했다. 김 의원은 방송에서 검찰이 그리피스 사건과 민주당을 연관지으려 한다는 근거 중의 하나로 “검찰이 (동북아평화경제협회 사무실에 있던) 컴퓨터를 압수수색할 때 50여개의 키워드를 검색했는데, 그중 하나가 가상화폐였다”는 주장도 했다.

미국 검찰의 구형요청서를 보면 그리피스는 2019년 4월 26일 자신의 부모에게 보낸 이메일에서 “남북 경제를 블록체인으로 연결하는 일을 하겠다”고 적었다. 2019년 8월 6일에는 북한에 한 번 더 가고 싶다고 친구에게 이메일을 보냈는데 한국에서 북한으로 이더(ether·이더리움 단위)를 보내고 싶다는 의사를 밝히기도 했다. 구형요청서는 기본적으로 그리피스의 죄를 증명하는 문서이기에, 왜 그리피스가 이런 생각을 하는지는 기술되어 있지 않다. 다만 북한이 한국의 블록체인 기술을 통해 가상화폐(코인)를 받기를 원하고 있고, 한국도 블록체인을 매개로 북한과 교류하는 것을 원한다고 그리피스가 생각했다는 정도를 짐작할 수 있다.

북한이 왜 가상화폐에 관심이 많은지는 그 후 상황을 보면 알 수 있는데, 그리피스 사건과 관련해 쌍방울과 아태협이 등장하는 대목과도 관계가 깊다. 가상화폐 기술로 대북 제재를 피할 수 있다는 그리피스의 평양 연설 직후인 2019년 7월 필리핀 마닐라에서 당시 이재명 대표가 지사직을 맡고 있던 경기도와 아태협이 공동으로 주최한 ‘아사아태평양 국제대회’가 열린다. 이 행사는 쌍방울그룹이 후원했는데, 당시 이재명 경기지사 시절 경기도의 대북사업을 총괄한 이화영 전 경기도 평화부지사가 주도한 것으로 알려져 있다. 이후 2020년 4월 아태협은 아태협의 영문 명칭(Asia Pacific Peace)의 앞글자 APP와 남북정상회담이 열린 4월 27일을 기념해 APP427 코인을 발행한다. 아태협은 APP427을 북한의 대안 화폐로 만들겠다는 계획까지 당시 코인 설명서에 적어 놓았다. 아태협 안수부 회장이 이 코인을 “이재명 코인이다” “이재명 후보가 당선되면 북한에 가서 코인을 쓸 수 있다”고 홍보했다는 주장도 전 아태협 직원의 입을 통해 나온 바 있다.

‘APP427 코인은 이재명 코인’ 주장도

아태협은 당시 투자자들에게 ‘북한에 현금을 보낼 수 없으니 코인을 발행한 것’이라며 100명의 투자자에게 10억원의 투자금을 받았고, KBS 간부가 1000만원을 투자해 코인 20만개를 지급받았다는 의혹도 있었다. 이 KBS 간부는 2019년 7월 아태협과 경기도가 필리핀 마닐라에서 개최한 대북 교류 행사에 참석해 북한 측 리종혁 조선아태평화위원회 부위원장과 단독 인터뷰를 진행한 바 있다.

서울중앙지검은 당시 만들어진 코인이 어디로 흘러갔는지 확인하고 있다. 이미 그리피스 사건 조사를 마친 미국 검찰과의 수사 협조 역시 이뤄지고 있는 것으로 알려졌다.

출처 : 주간조선(http://weekly.chosun.com)

http://weekly.chosun.com/news/articleView.html?idxno=22741

“北, 암호화폐 해킹… 미사일 31발 비용, 6억2000만 달러 훔쳤다“… 2년간 가상화폐 훔쳐 대량살상무기 자금 1조 마련

“北, 암호화폐 해킹… 미사일 31발 비용, 6억2000만 달러 훔쳤다“

외교부, 美 국무부와 ‘북한 암호화폐 탈취 대응 한미 공동 민관 심포지엄’

블록체인게임 ‘엑시인피니티’, 사이드체인 ‘로닌네트워크’ 해킹… 6억 달러 탈취

북한, 탄도미사일 31발 발사… 4억 달러~6억5000만 달러 탕진한 것으로 추정

북한이 올 상반기 한 차례 암호화폐 탈취로 총 31발의 탄도미사일을 발사할 수 있는 비용을 확보한 것으로 알려졌다.

최근 북한은 핵·미사일 개발에 따른 국제사회의 제재로 자금 확보가 어려워지자 암호화폐 거래·해킹 등으로 이를 충당하고 있는 것으로도 알려졌다.

외교부와 미국 국무부는 17일 서울 종로구 포시즌스호텔에서 ‘북한 암호화폐 탈취 대응 한미 공동 민관 심포지엄’을 개최했다.

김건 외교부 한반도평화교섭본부장은 이날 축사에서 북한이 지난 3월 블록체인 기반 게임 ‘엑시인피니티’ 사이드체인인 ‘로닌네트워크’를 해킹한 사례를 언급하며 “6억2000만 달러를 탈취했다”고 밝혔다.

김 본부장은 “올 상반기 북한이 31발의 탄도미사일 발사에 4억~6억5000만 달러를 탕진한 것으로 (정부는) 추정하고 있다”며 “탈취 금액 중 상당부분을 회수하지 못했다면 북한은 지난 3월 1건의 해킹으로 상반기 (감행한) 탄도미사일 금액을 벌게 됐을 것”이라고 추정했다.

“많은 전문가는 암호화폐 시장규모가 급격히 증가하고 있는 동남아 국가들이 북한 해킹 공격의 표적이 될 가능성을 제기하고 있다”고 우려한 김 본부장은 “보다 많은 나라가 북한의 사이버 위협에 관심을 가져야 한다”고 강조했다.

외교부 “한미 간 긴밀히 협력해 핵·미사일 프로그램 개발 저지”

임수석 외교부 대변인도 17일 정례 브리핑에서 북한의 암호화폐 탈취 관련 대책에 관한 취재진의 질문에 “그간 북한이 사이버 수단을 통해서 핵·미사일 프로그램 개발에 계속 이용한 것을 저희 정부는 우려하고 계속 동향을 주시하고 있다”고 답했다.

이어 임 대변인은 “이번 한미 간의 사이버 위협 대응과 암호화폐 탈취 등에 관한 한미 간의 긴밀한 협력 방안도 이러한 북한의 핵·미사일 프로그램 개발을 저지하고 북한이 한반도 비핵화를 위한 대화의 장으로 조속히 나올 수 있도록 촉진하는 수단이 될 것으로 생각한다”고 밝혔다.

“북한, 2년간 가상화폐 훔쳐 대량살상무기 자금 1조 마련”

북한이 랜섬웨어(ransomware) 등을 이용한 사이버 절도 행위로 지난 2년간 10억달러(약 1조3250억원) 이상을 벌어들인 것으로 추정된다고 알레한드로 마요르카스 미국 국토안보부 장관이 15일(현지 시각) 밝혔다. 랜섬웨어 공격은 암호화한 데이터를 인질로 몸값(ransom)을 요구하는 사이버 범죄다.

알레한드로 마요르카스 미국 국토안보부 장관./로이터 연합뉴스

알레한드로 마요르카스 미국 국토안보부 장관./로이터 연합뉴스

마요르카스 장관은 이날 미 연방 하원 국토안보위원회가 개최한 ‘미국에 대한 세계 전역의 위협’ 청문회에 참석하기 전 제출한 서면 증언에서 “북한은 가상 화폐와 경화(硬貨)에 대한 사이버 절도를 통해 지난 2년 동안에만 총 10억달러 이상을 벌어 대량살상무기(WMD) 프로그램에 자금을 댔다”고 진술했다. 바이든 미국 행정부는 취임 이후 핵·탄도미사일 프로그램 개발 자금 원천으로 북한의 사이버 활동을 주목해 왔다. 북한은 라자루스 등을 통한 해킹 활동으로 불법 무기 개발 자금을 충당해 온 것으로 두루 알려져 있다.

마요르카스 장관은 “러시아, 중국, 이란, 북한 같은 적성국과 세계 전역의 사이버 범죄자들은 계속해서 전술을 가다듬으며 더 부정적인 결과를 초래하고 있다”면서 “이들의 랜섬웨어 공격은 우리 금융기관과 병원, 파이프라인, 전력망, 정수처리장 등을 겨냥해 일상에 큰 피해를 준다”고 했다. 또 “2020년에는 랜섬 요구액이 미국에서만 14억달러(약 1조8550억원)를 넘었다”고 했다. 그는 또 이 행위자들이 “자유민주주의는 물론 우리 공공·민간 기관의 신뢰를 약화하려 사이버 생태계를 악용한다”며 “이런 사이버 작전은 모든 미국인, 그리고 세계 다수의 경제·국가안보를 위협한다”고 했다

이날 청문회에서도 북한의 랜섬웨어에 대한 우려가 언급됐다. 크리스토퍼 레이 연방수사국(FBI) 국장은 “북한의 (사이버) 절도와 공격 외에 첩보도 늘어나고 있다”며 “위협적 행위를 하는 북한 내 그룹을 적극적으로 수사하고 있다”고 밝혔다. 그는 “지난 2년간 미국의 안전과 안보, 디지털 세계의 신뢰를 위협하는 광범위한 사이버 행위자를 목도했다”며 “범죄인 인도가 가능한 국가에서 그들과 협력하는 조력자들을 체포하는 것을 중시하고 있다”고 답했다.

北, 코인 해킹한 돈으로 미사일 쐈다…올해만 1조7000억원 탈취…北 미사일 자금원 거론되는 ‘코인 해킹’…어떻게 현금화했나

北, 코인 해킹한 돈으로 미사일 쐈다…올해만 1조7000억원 탈취

세계 각지 거래소 암호화폐 탈취

美 “올해 해킹 60%가 北의 소행”

한미, 암호화폐 해킹 막을 北제재안 곧 발표

北돈세탁 관여한 업체·인물 제재

코인압수·거래차단 방안 등 논의

북한이 암호 화폐를 탈취해 최근까지 약 1조7000억원 이상 확보한 것으로 6일 알려졌다. 한미 정보 당국은 북한이 이런 해킹을 통해 벌어들인 외화를 핵무기 개발과 최근의 연쇄 미사일 도발에 사용한 것으로 파악하고 자금줄 차단에 나섰다. 한미는 북한의 암호 화폐 해킹을 차단하기 위해 독자 제재 방안을 마련해 곧 발표할 예정이다.

유력 정보 소식통은 이날 “북한이 비트코인, 이더리움 같은 암호 화폐를 해킹해 확보한 돈은 한미 정보 당국이 현재까지 확인한 것만 최소 1조7000억원”이라며 “북한이 열악한 경제 상황에도 꾸준히 도발할 수 있는 이유가 여기에 있다”고 했다. 북한은 최근 일주일 사이 미사일 30여 발, 포 160여 발을 쏘는 데 수천억 원을 사용한 것으로 알려졌다.

북한은 대북 제재가 본격화된 2016년 직후부터 세계 각지의 거래소에서 암호 화폐를 탈취했다. 정부 고위 관계자는 “암호 화폐 경제 생태계가 급성장하면서 정찰총국이 지휘하는 것으로 알려진 해킹 집단 ‘라자루스’ 등이 거래소 해킹에 집중했고, 이렇게 쌓인 돈이 핵·미사일 개발을 위한 재원으로 쓰였다”고 했다. 미 블록체인 데이터 플랫폼 업체 체이널리시스는 올해 8월 발표한 보고서에서 “올해 발생한 암호 화폐 탈취 사건의 60% 정도가 북한 연계 해커들의 소행으로 추정된다”며 “북한이 해킹으로 올해 약 10억달러(약 1조4110억원) 상당의 가상 자산을 탈취했다”고 주장했다.

북한이 암호 화폐 해킹에 몰두하는 것은 대북 제재망이 갈수록 촘촘해지고 코로나로 국경까지 봉쇄되면서 마약 거래나 이른바 ‘수퍼 노트(초정밀 위조지폐)’ 같은 기존의 음성적 외화벌이 수단들이 잘 먹혀들지 않고 있기 때문이다. 또 암호 화폐 생태계가 최근 몇 년간 비약적으로 성장한 것과 달리 관련 거래소·플랫폼들은 상대적으로 보안이 취약하다는 점도 작용했다. 외교 소식통은 “정찰총국 지휘를 받는 해킹 집단들이 새로운 금융 자산에 눈길을 돌려 자원을 쏟아부었고, 그 결과 각 정보 당국에서 ‘지능적 지속적 위협(APT)’으로 분류될 정도로 해킹 역량이 신장됐다”고 했다.

암호화폐 해킹으로 2조원 챙기는 북한…핵·미사일 개발 돈줄됐다

“탈취 60% 가량이 북한 관련 소행”

국내 거래소도 북한 해커들의 표적

대북제제와 감시 피해 범죄 지능화

北 미사일 자금원 거론되는 ‘코인 해킹’…어떻게 현금화했나

가상화폐 탈취에 北 연계 해커조직 ‘라자루스 전방위적으로 관여

수년간 훔친 가상자산 총 2조원 넘는 것으로 알려져

가상화폐 쪼개는 ‘믹서’ 수법 포함해 여러단계 세탁과정 거쳐 추적 회피

보안 전문가들 “갈수록 대담한 수법 사용“

[서울=뉴시스]송종호 기자 = 북한의 핵무기 개발 및 미사일 도발 비용 조달원으로 ‘가상자산(코인) 해킹’이 유력하게 거론되면서 미 정보당국이 예의주시하는 해커그룹 ‘라자루스(Lazarus)’에 세간의 이목이 쏠리고 있다.

라자루스는 2007년 초부터 지금까지 활발하게 활동하고 있는 해커그룹으로 미 정보당국은 북한의 정찰총국과 연계돼 있다고 보고 있다. 라자루스는소니픽처스 해킹, 방글라데시 현금 탈취 사건, 워너크라이 랜섬웨어 사건 등 주요 배후로 거론돼왔으며, 이 조직을 통한 코인 거래소 해킹 등을 통해 북한이 최소 2조원 가까운 자금(누적기준)을 확보할 수 있었다는 관측이다.

아무리 가상자산이 익명성을 기반으로 한다지만 어떻게 이같은 거금을 현금화할 수 있었을까.

◆라자루스는 거금을 어떻게 현금화했나

미국 재무부는 최근 ‘토네이도 캐시’도 제재했다. 토네이도 캐시는 믹서 전문업체로, 이 기업과 라자루스가 돈세탁했다는 게 미 정보당국의 추정이다. 믹서란 가상자산을 쪼개 누가 전송하고 현금화했는 지 알 수 없도록 만드는 기술을 말한다.

토네이도 캐시는 라자루스가 탈취한 4억5500만 달러(약 6384억원) 규모의 엑시 인피니티를 세탁해준 혐의를 받고 있다. 미 재무부 해외자산통제실(OFAC)에 따르면 토네이도 캐시는 2019년 설립 이래 70억 달러(약 9조8231억원)가 넘는 가상자산 세탁에 관여했다.

그동안 미국 정부는 라자루스를 비롯해 북한 해커 조직이 훔친 가상자산를 현금으로 세탁하는 데 도와준 기업이나 개인에게 제재를 가하고 있다. 이에 자금세탁 수단이 줄어든 라자루스가 믹서 업체를 적극 활용하고 있는 것으로 추정된다. 지난 5월에도 이와 유사한 혐의로 또다른 믹스업체인 ‘블렌더’가 미 재무부의 제재를 받았다. 라자루스가 가상자산을 세탁하는데 조력했다는 이유다.

블록체인 데이터 분석 업체 체이널리시스에 따르면, 라자루스는 사이버 해킹을 통해 훔친 코인을 현금화하는데 여러 단계의 세탁 과정을 거쳐 추적을 따돌린다. 가령, 특정 가상자산을 훔쳐 이를 이더리움 환전용 지갑에 담은 뒤 믹스 업체를 통해 취합된 이더리움을 쪼개 흔적을 없앤다. 쪼개진 이더리움을 비트코인으로 환전하고 또다시 혼합한다. 이 과정을 여러 번 반복한 뒤 현금으로 나눠서 인출하는 방식을 사용한다.

미 정부 당국의 믹서 업체 제재가 본격화되면서 라자루스가 자금 추적을 회피하기 위해 훔친 코인을 1만개가 넘는 가상자산 계좌로 분산해서 담는 등 용의주도함으로 보였다는 게 체이널리스의 분석이다. 미국 FBI(연방수사국) 소속 암호화폐 전문가인 닉 칼슨 TRM랩스 분석관은 얼마전 미국의소리(VOA)방송에 출연해 “라자루스가 탈취한 가상자산을 세탁해 현금화하는 수법이 상당히 발전했다”며 “특히 북한 해커들은 추적 당할 위험을 감수하고 빠른 현금화를 위해 돈세탁에 필요한 난독화(분석을 어렵게 만드는 기술)를 생략하는 등 보다 과감해지고 있다”고도 털어놨다.

◆가상자산 거래소 뒤흔드는 라자루스…北 정찰총국과 연계?

라자루스는 지난 3월 블록체인 게임으로 동남아 지역에서 선풍적인 인기를 끌었던 ‘엑시 인피니티’를 해킹한 배후조직으로 알려지면서 세간의 주목을 받았다.

라자루스 그룹이 가상자산 해킹에 연루된 것은 이번이 처음은 아니다. 체이널리시스에 따르면 2017년과 2020년 사이에 라자루스 그룹에 의해 도난당한 가상자산 규모는 17억5000만달러(약 2조 4561억원)로 추정된다.

미국 국토안보부 산하 사이버안보·기간시설안보국(CISA)은 지난 4월 미연방수사국(FBI), 재무부와 함께 북한 해킹 조직 ‘라자루스’의 해킹 공격 위험을 경고하는 사이버주의보를 발령했다. 지난 몇년간 발생한 주요 가상자산 거래소를 상대로 한 해킹 공격이나 가상 계좌 유출 사건의 배후로 라자루스를 지목한 것이다. 연방 검찰은 공소장에서 “북한과 연계된 해커들이 다른 자금세탁 범죄자들과 공모해 3곳의 가상 자산 거래소에서 가상 자산을 훔쳐왔다”고 밝혔다. 그러다 지난 6월에도 라자루스는 미국 블록체인 기술 기업인 하모니에서 1억 달러 가상자산을 해킹한 정황이 또다시 포착됐다.

단정짓긴 어렵지만 최근 수년간 국내 가상자산 거래소 해킹에도 라자루스가 관여돼 있을 것으로 보안 전문가들은 추정하고 있다.

라자루스는 지난 2014년 소니픽쳐스를 해킹해 기밀 자료를 공개 유출했다는 의혹을 받으면서 처음으로 이름을 알렸다. 소니픽쳐스가 김정은 북한 국무위원장의 암살을 다룬 영화 ‘인터뷰’ 제작을 중단하라는 요구를 들어주지 않자 보복 해킹을 단행한 것이다. 이후 2016년 방글라데시 중앙은행에서 발생한 8100만 달러(약 1005억원) 탈취사건과 2017년 전세계 150여개국 30여만대 컴퓨터를 공격한 워너크라이 랜섬웨어의 배후로도 알려진 바 있다.

보안 전문가들은 라자루스의 배후로 북한 정찰총국을 꼽고 있다. 북한이 2009년 정찰총국 산하에 전자정찰국 사이버전지도국(121국)을 설치했고, 군 총참모부 산하 지휘자동화대학 졸업생들을 정찰총국 산하 해킹부대에 배치하는 등 정보전 역량을 크게 강화해왔다는 주장이다. 하지만 북한은 일관되게 라자루스와의 연관성을 부인하고 있다.

◎공감언론 뉴시스 song@newsis.com

“카카옥페이 개인정보 처리 안내입니다”…알고 보니 北 해킹?…북한 해킹 갈수록 지능 교묘해 주의 필요

“카카옥페이 개인정보 처리 안내입니다”…알고 보니 北 해킹?

‘금성121’ 소행으로 밝혀져…시간차 두고 악성파일 유포하는 지능적 수법 보이기도

북한 연계 해킹 조직이 유명 메신저 프로그램을 통해 악성파일을 유포 중인 것으로 나타났다.

이상용 데일리NK 공동대표는 지난 17일 카카오톡 메신저를 통해 ‘카카옥페이’라는 발신자로부터 메시지를 받았다. 카카오사(社)의 간편결제 서비스인 ‘카카오페이’와 유사한 이름으로 설정하고 프로필 사진에도 카카오페이 연관 이미지를 넣어 가짜 계정임을 숨기려 했다.

현재 카카오톡 메신저에서는 사용자 이름을 ‘카카오페이’, ‘카카오 페이’, ‘Kakao pay’ 등으로 설정할 수 없게 돼 있다. 카카오사에서 사칭 피싱을 예방하기 위해 이를 금칙어로 해둔 것으로 보이는데, 이 때문에 공격자가 불가피하게 사용자명을 ‘카카옥페이’라고 설정한 것으로 파악된다.

공격자는 17일에 처음 메시지를 보내면서 별다른 악성파일을 유포하지 않고 이벤트와 서비스 이용에 대한 정보를 전달하면서 호기심을 유도했다. 곧바로 특정 파일을 건네는 경우 상대가 경계하면서 해킹을 의심할 수 있다는 점을 노린 전략이다.

실제 공격자는 다음날인 18일 본색을 드러냈다. 공격자는 이 대표에게 ‘개인정보 처리 방침’ 안내라면서 압축파일을 보냈다. 이에 본보가 해당 압축파일을 전문가에게 분석 의뢰한 결과, 악성코드가 심어진 파일로 나타났다.

문종현 이스트시큐리티 시큐리티대응센터장은 본보에 “해당 파일은 북한 해킹 조직 금성121의 소행”이라며 “악성코드가 숨겨져 있고 이것이 실행될 경우 사용자의 정보가 유출된다”고 말했다.

특히 문 센터장은 “이번 악성파일은 카카오톡 PC 버전을 노린 것으로 보인다”며 “스마트폰 환경에서는 작동되지 않는다”고 설명했다.

공격자가 보낸 압축파일을 해제하면 내부에 pif 확장자로 위장한 실행(exe) 파일이 있다. 해당 파일을 실행하면 악성코드와 함께 PDF 파일이 열린다. 정상적인 PDF 파일이 실행되기 때문에 사용자가 해킹에 노출됐다는 사실을 인지하지 못할 가능성이 있다.

이 악성파일을 열면 사용자의 눈에는 보이지 않는 백그라운드에서 악성코드가 작동해 특정 원드라이브(OneDrive) 클라우드로 접속해서 추가 명령을 대기 또는 시도한다. 그리고 미리 설정된 명령에 따라 탈취한 사용자 정보를 보안클라우드 스토리지인 피클라우드(pCloud) 서버로 전송한다.

문 센터장은 “SNS나 메신저를 통해 전송된 파일이나 단축 URL에 대해서는 각별한 주의가 필요하다”면서 “휴대전화나 이메일로 파일을 받는 경우 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 강조했다.

한편 금성121은 북한과 연계된 조직으로, APT(지능형지속위협) 공격을 은밀히 수행하고 있다. 이들은 과거 실존하는 특정 인물의 이름과 프로필 사진을 무단 도용해 카카오톡 계정을 생성하고 해킹 공격을 시도한 바 있다.

최근 들어 더욱 다양한 방식으로 해킹 시도가 이뤄지고 있는 만큼 사용자들의 각별한 주의가 요구된다.

“북한발 해킹은 일상”··· 이스트시큐리티, 2022년 사이버보안 이슈 전망

[디지털데일리 이종현기자] 내년에도 한국을 대상으로 하는 북한의 해킹이 일상처럼 지속되리라는 전망이 제기됐다.

9일 백신 프로그램 ‘알약’의 개발사 이스트시큐리티는 올해 주요 사이버보안 이슈 및 2022년 발생할 것으로 예상되는 위협을 발표했다.

가장 큰 위협으로 꼽힌 것은 북한이다. 이스트시큐리티의 분석에 따르면 북한 정찰총국의 지원을 받는 해킹 그룹은 올해 국방·통일·외교·안보 및 대북 관계자 등을 대상으로 하는 사이버 공작 활동을 활발히 펼쳤다.

특히 북한 정찰총국의 지원을 받는 것으로 추정되는 ‘라자루스’와 ‘탈륨’의 공격이 성행했다.

라자루스는 전 세계에 영향을 미친 랜섬웨어 공격 ‘워너크라이’의 배후로 지목되는 곳이다. 미국 법무부로부터 전 세계 은행과 기업으로부터 13억달러가량을 훔친 혐의로 기소된 박진형, 전창혁, 김일이 몸담은 조직으로 알려졌다. 10여개국 이상의 방산업체로부터 민감한 국방 데이터를 훔쳤다는 의혹도 있다.

탈륨은 올해 한국원자력연구원을 공격한 것으로 의심받고 있다. 이스트시큐리티 시큐리티대응센터(ESRC)는 노태우 전 대통령 사망시 언론사 뉴스 페이지를 가장한 피싱 사이트를 유포했다고 지적한 바 있다. 광범위하게 일상적으로 공격을 수행 중인데, 이스트시큐리티는 또다른 북한 해킹그룹 ‘김수키’가 탈륨의 또다른 이름일 것으로 추정하고 있다.

이스트시큐리티는 2022년에도 북한의 대남 사이버 위협은 일상처럼 지속할 것이라고 예측했다. 특히 공공분야 뿐만 아니라 민간 분야 전문 종사자를 대상으로 한 표적 공격도 가속화할 것으로 내다봤다.

국가정보원(이하 국정원)은 내년 3월 있을 제20대 대통령 선거 전후로 북한의 사이버공격이 집중되리라 전망했다. 금전 탈취뿐만 아니라 우리 정부의 대미·대북정책 정보를 훔쳐내기 위한 활동을 펼칠 것이라는 예상이다.

이스트시큐리티는 이밖에 2022년 주요 위협으로 ▲국지적 고도화된 랜섬웨어 공격 활발 ▲대통령 선거 및 월드컵, 올림픽 등 국제 행사를 활용한 사회공학적 공격 발생 ▲팬데믹을 활용한 개인정보 유출 위협 지속 ▲메타버스 플랫폼의 데이터 및 대체불가능한 토큰(NFT) 광풍으로 인한 위협 등장 ▲인공지능(AI) 서비스나 스마트 기기를 대상으로 한 위협 발생 등을 꼽았다.

http://m.ddaily.co.kr/m/m_article/?no=227100

이스트시큐리티, “북한발 해킹 증가…주변 정보 메일 주의“

http://m.ddaily.co.kr/m/m_article/?no=229251