김정은이 주도하는 북한의 국가 지원 해킹 조직인 '라자루스 그룹(Lazarus Group)'의 전 세계 금융 시스템을 겨냥한 사이버 금융 해킹 규모가 점점 더 커지고 있다. 최근 일어난 국내 최대 암호화폐 거래소 업비트의 445억원 규모 해킹도 이 라자루스 그룹 소행으로 추정되고 있을 정도다.
이에 앞서 라자루스는 지난 2월 아랍에미리트(UAE) 두바이의 바이비트 거래소를 겨냥해 15억 달러(약 2조 원) 규모의 이더리움 탈취를 시도한 의혹을 받고 있다. 이는 단일 암호화폐 해킹 사건으로는 역대 최대 규모로 기록될 수 있는 수준이다.
라자루스의 작전은 단순한 사이버 범죄를 넘어, 북한 정권의 대량살상무기(WMD) 개발 자금을 조달하기 위한 국가 주도형 금융 공작이라는 지적이다. 북한은 국제 제재로 전통적인 외화 획득 경로가 막히자 , 추적이 어렵고 현금화가 용이한 암호화폐를 핵심 전략 자원으로 삼아 비대칭적 사이버 금융 전쟁에 총력을 기울이고 있는 것이다. 라자루스 그룹은 2007년 창설된 이래 , 북한의 핵심 정보기관인 정찰총국(RGB)의 통제를 받고 있으며 , 내부적으로는 '414연락소'로 알려져 있다.
해킹의 역사: 8천만 달러부터 5억 달러까지
금융 시스템 해킹과 랜섬웨어 방식으로 침투
북한의 라자루스는 정권의 전략적 명령 체계 하에 사이버 첩보, 정보 탈취, 현금 강탈 등 다양한 임무를 수행하고 있다.
라자루스는 2014년 소니 픽처스 엔터테인먼트 해킹 사건으로 국제적인 악명을 떨쳤다.
이후 2016년에는 하위 조직인 블루노로프(Bluenoroff)를 통해 방글라데시 중앙은행에서 SWIFT 시스템을 악용해 8천만 달러(약 1,040억 원)를 탈취하는 등 고도의 금융 강탈 능력을 입증했다. 2017년 전 세계 150개국을 강타한 워너크라이(WannaCry) 랜섬웨어 공격에도 라자루스가 연루된 강력한 정황이 포착되었으며 , 당시 피해 금액은 약 1억 1,200만 달러(약 1,456억 원)에 달했다.
암호화폐 브릿지 집중 공략
국제 제재 강화 이후 라자루스는 추적이 복잡한 블록체인 인프라로 표적을 전환했다.
2022년 로닌 브릿지(Ronin Bridge) 해킹: 5억 4,000만 달러(약 7,020억 원) 규모의 이더리움 탈취를 주도했다.
2022년 호라이즌 브릿지(Horizon Bridge) 해킹: 1억 달러(약 1,300억 원)를 탈취했다.
이 두 건의 해킹만으로 북한이 4년간 수출해서 벌어들일 수 있는 금액을 훌쩍 넘겼다는 분석이다. 이는 북한이 암호화폐 해킹을 국가 생존을 위한 필수 전략으로 삼고 있음을 단적으로 보여준다.
치밀한 전술: 채용 미끼와 다단계 악성코드
라자루스는 암호화폐 기업을 겨냥할 때 정교한 사회공학적 기법을 적용한다.
우선 이들은 암호화폐 거래소 직원들에게 '좋은 조건에 채용하고 싶다'는 제안을 담은 이메일을 발송해 접근했다. 유인된 피해자에게는 합법적인 앱으로 위장한 악성 암호화폐 앱(AppleJeus 등)을 다운로드하도록 유도하며 , 이를 통해 암호화폐 지갑으로부터 돈을 훔쳐낸다. 일부 공격에서는 제로데이(Zero-day) 취약점을 활용했을 가능성도 제기될 만큼 , 이들의 침투 역량은 매우 진보했다. '제로데이 취약점'이란 어떤 프로그램에서 취약점이 발견된 날 그 순간은 공격자가 취약점을 이용해 악성코드를 퍼뜨릴 수 있는 날이다. 따라서 개발자가 이 프로그램의 보안수정(패치)을 제공하거나 사용자가 업데이트하기 전에 이미 공격이 시작될 수 있다는 위험성이 있다. 이렇게 공격자가 취약점을 먼저 활용하기 때문에 방어자가 대응할 시간이 없고, 피해가 매우 클 수 밖에 없다
'다단계 트로이목마' 전략
라자루스는 사이버 공격 탐지를 회피하기 위해 맞춤형 원격 접근 트로이목마(RAT)를 다단계로 사용한다. 초기 침투에는 단순한 '로더' 역할의 PondRAT를 사용하고 , 이후 고가치 타겟에는 메모리에서만 실행돼 은닉성이 높은 ThemeForestRAT나 가장 진보된 C++ 프로그래밍 언어 기반의 RemotePE를 투입한다. 이러한 다단계 전략은 자원 낭비를 줄이고 위험 노출을 최소화하기 위한 선진 APT 그룹의 전형적인 작전 계획이다. APT 그룹이란 'Advanced Persistent Threat(지능형 지속 위협) '공격을 수행하는 해킹 조직을 말한다. 이들은 특정 목표를 정해 고도로 지능적인 해킹 기법을 사용하여 장기간에 걸쳐 은밀하게 네트워크에 침투하고 정보를 훔치거나 시스템을 조작하는 사이버 공격자 집단이다. 일반적인 사이버 공격과 달리 APT 공격은 단기간이 아닌 수개월, 수년 동안 탐지되지 않고 지속적이며, 국가 기관, 대기업, 연구소 등을 목표로 주로 공격한다.
자금 세탁은 믹서(Mixer) 도구를 이용
믹서(Mixer)는 탈취한 암호화폐가 어디서 왔는지, 즉 자금의 출처를 감추기 위해 사용하는 자금 세탁 도구다. 라자루스는 암호화폐를 훔친 뒤 믹서에 넣어 여러 거래를 통해 암호화폐를 쪼개고 섞어서, 블록체인 상에서 추적하기 어렵게 만든다. 이렇게 하면 누가 보냈고 누가 받았는지 연결 고리가 사라져서, 범죄자들의 자금 흐름을 숨길 수 있다.
그런데 미국 재무부가 2022년에 토네이도 캐시(Tornado Cash)라는 유명한 믹서 서비스를 제재했는데, 라자루스는 이 제재 이후 새로운 믹서인 신밧드(Sinbad)를 사용하다가 이마저도 제재되자, 난독화(데이터를 복잡하게 만들어 추적을 어렵게 하는 기술)를 더 발전시켜 분산형으로 운영되는 토네이도 캐시를 다시 사용하기 시작했다.
2024년 3월에도 라자루스는 해킹 자금 중 1,200만 달러(약 156억 원) 상당의 이더리움을 40회 이상 분산 이체하는 방식으로 토네이도 캐시를 통해 자금 세탁을 시도한 것이 포착됐다. 이는 탈중앙화 기술(DeFi)이 역설적으로 북한의 불법 자금 확보를 위한 전략적 도구로 활용되고 있음을 의미한다.
미국 한국 등 국제 사회는 FBI, 국정원 등 수사기관과 민간 블록체인 분석 업체(체이낼러시스)와의 공조를 통해 자금 세탁을 차단하고 있다. 2022년 9월 FBI는 로닌 브릿지 해킹 자금 중 3,000만 달러(약 390억 원)를 회수했고 , 국정원 역시 자금 세탁 직전에 약 100만 달러(약 13억 원)를 동결시키는 성과를 거두기도 했다.
핵심 인물 기소와 국제적 대응
박진혁,전창혁,김일 3명을 제재
미국 법무부는 라자루스 그룹의 일원인 북한 국적자 박진혁(Park Jin Hyok), 전창혁(Jon Chang Hyok), 김일(Kim Il) 등 세 명을 범죄 사이버 침입을 수행한 혐의로 기소했다. 이들은 모두 북한 정찰총국 소속이다. 특히 박진혁은 앞에서 언급한 소니 해킹, 방글라데시 중앙은행 해킹, 워너크라이 공격을 주도한 혐의를 받고 있다. 그는 북한 정권이 운영하는 위장 회사인 조선엑스포합영회사 소속으로 활동했으며 , 중국과 러시아 등 해외 국가에서 활동하기도 했다.
미국 정부의 기소와 제재 조치는 북한의 사이버 공격이 김정은 정권의 전략적 이익을 위한 것임을 명확히 했지만 , 이후 로닌 브릿지, 바이비트 의혹 등 초대형 금융 범죄가 발생하며 공격 규모가 더욱 커졌다.
로닌 브릿지 해킹 사건이란 2022년 3월에 발생했다. 블록체인 기반 게임 액시 인피니티가 사용하던 크로스체인 다리 서비스인 로닌 네트워크에서 약 6억 1500만 달러 상당의 이더리움과 USDC가 탈취된 사건이다. 해커들은 로닌 네트워크의 검증자(validator)들의 개인 키를 탈취해 자산이 없는 상태에서 거래가 가능한 것처럼 조작해 막대한 자금을 빼돌니다. 이 공격은 북한의 라자루스 그룹이 벌인 것으로 알려졌다. 로닌은 해킹 후 운영을 중단하고 피해 복구를 위해 노력했으며, 이 사건은 암호화폐와 탈중앙화 금융(DeFi)의 보안 취약성을 여실히 드러냈다.
또 바이비트 의혹은 암호화폐 거래소 바이비트와 관련해 대규모 익스플로잇(보안 취약점 공격) 의혹이 제기된 사건이다. 여기에도 라자루스 그룹과 같은 해커들이 연루되어 수천억 원대 암호화폐를 불법 탈취하거나 세탁한 의혹이 있다.
이는 법적· 금융적 제재만으로는 APT 그룹의 활동을 억제하는 데 한계가 있음을 여실히 드러내고 있다.
그렇다면 북한의 사이버 금융 해킹 실력이 핵무기와 같이 세계 최고 수준이라는 얘기인가?
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
