북한 정보기관이 배후에 있는 것으로 알려진 해킹 조직 라자루스(Lazarus)가 지금까지 해킹으로 빼돌린 암호화폐가 무려 6천억원 어치가 넘는다는 보고서가 나왔다.

사이버 보안업체 그룹아이비(Group-IB)는 라자루스가 지난해 1월부터 암호화폐 거래소를 꾸준히 공격했고, 총 14차례 해킹에 성공해 5억 7,100만 달러, 우리돈 6,464억 원어치 암호화폐를 빼돌렸다고 전했다. 그룹아이비의 보고서는 앞서 북한 해커들이 2017년 해킹으로 막대한 암호화폐를 벌어들인 것으로 보인다던 지난 2월 한국 국정원 관계자의 보고를 뒷받침하는 것이기도 하다.

당시 국정원 관계자는 국회 정보위원회 소속 의원들에게 북한과 관련 있는 해커 조직이 각종 피싱 사기를 비롯한 범죄 행위를 동원해 국내 투자자들의 돈 수백억 원을 탈취해간 것으로 보인다고 비공개로 설명했다. 국정원은 앞서 1월에 일어난 일본 암호화폐 거래소 코인체크(Coincheck) 해킹의 배후에도 북한 해커 조직이 있는 것 아닌지 조사했던 것으로 알려졌다. 코인체크 해킹 사건은 암호화폐 5,600억 원어치가 도난된 사건으로, 당시 배후로 의심되는 해커 조직에 라자루스의 이름은 언급되지 않았었다.

사진=Getty Images Bank

 

그룹아이비의 보고서를 입수해 보도한 매체 <넥스트웹(The Next Web)>에 따르면 지난해부터 올해까지 암호화폐 거래소에서 해킹으로 도난당한 암호화폐가 총 8억 8,200만 달러어치에 이른다. 그룹아이비는 이어 은행을 비롯한 전통적인 금융기관을 공격 목표로 삼던 해커들이 더 큰 돈을 만지려는 유혹에 끌려 암호화폐 거래소를 노린 공격을 감행하는 일이 잦아질 것으로 내다봤다.

보고서는 해커들이 어떤 식으로 공격을 진행했는지도 언급했다. 스피어피싱(spear phishing), 사회공학적 해킹(social engineering), 악성 소프트웨어(malware)를 이용한 방식이 가장 많이 쓰였다. <넥스트웹>은 이 가운데서도 기업의 네트워크를 공격하는 데는 특정 개인이나 조직에 악성 코드가 담긴 이메일을 보내 이를 무심코 열어보면 네트워크를 감염시켜 해킹하는 스피어피싱 방법이 가장 많이 쓰인다고 전했다.

먼저 기업 내부 통신망과 네트워크를 장악하고 나면 해커들은 네트워크 안에서 기업이나 거래소의 암호화폐 지갑과 연동돼 있는 단말기를 찾아내 이를 공격 목표로 삼는다.

그룹아이비는 또 해커들이 지난해 ICO로 모인 투자금 가운데서도 무려 전체의 10%에 이르는 토큰을 빼돌렸다고 전했다. 여기에도 마찬가지로 피싱 수법이 쓰였다. ICO 열풍에 휩쓸려 토큰을 사들이면서 보안에 제대로 신경을 쓰지 않은 투자자들이 악성 코드를 심어둔 가짜 웹사이트에 방문했다가 해킹당하는 등 해커들의 쉬운 먹잇감이 됐다고 그룹아이비는 분석했다. 예를 들어 올해 초 텔레그램 ICO를 앞두고 가짜 웹사이트가 텔레그램의 토큰을 사려는 투자자들을 현혹해 돈을 빼돌리려 한 일이 있었는데, 비슷한 수법에 투자자들이 당한 것이다.

그룹아이비는 또 암호화폐를 채굴하기 위해 조성한 채굴 풀도 해커들에게 군침 도는 공격 목표라고 경고했다. 누군가 나쁜 마음을 먹고 51% 공격을 감행해 네트워크를 장악하기만 하면 채굴 풀에 모인 암호화폐를 훔쳐 달아날 수 있기 때문이다. 실제로 올해만 해도 여러 암호화폐 프로젝트가 잇달아 51% 공격을 받았다.

번역: 뉴스페퍼민트

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지