3화. 북한의 가상자산 탈취 방식⁶과 자금세탁 방식

홈 경제 경제 심층분석

북한의 가상자산 탈취 동향과 지정학적 파급효과

시리즈 총 6화

2023.02.24

읽는시간 4분

가상자산 탈취를 주도하는 북한 기관 조직으로 북한의 ‘정찰총국’과 그 산하 조직인 ‘라자루스 그룹’을 지목

○ 북한 정찰총국은 노동당 산하 작전부, 내각 인민무력부(현 인민무력성) 산하 정찰국, 대외 정보수집을 담당하던 35호실이 2009년에 통합하면서 창설됨⁷ (정보원 양성 및 운영기관)

정찰총국은 ‘라자루스’ ⁸라는 별칭⁹을 갖게 된 해커조직을 산하에 두고 그 아래에 여러 개의 해커팀 을 운영하고 있는 것으로 알려짐¹⁰
- ‘라자루스’는 2011년 미국 영화사 ‘Sony Pictures(소니 픽쳐스)’를 해킹한 가해자¹¹로 알려졌으며, 2017년 ‘Wannacry(워너크라이) ¹² ’라는 랜섬웨어¹³를 유포한 해커조직으로 알려짐
‘라자루스’ 그룹 내에 별도의 역할을 담당하는 팀으로 추정되는 ‘블루노로프(Bluenorof)’, ‘안 다리엘(Andariel)’, ‘APT37’ ¹⁴ , ‘APT38’, ‘탈륨(Thallium)’ 등이 있으며 계속 새로 발굴되거나 명명(naming)되고 있음
- 미국 재무부는 2019.9월 ‘라자루스’, ‘블루노로프’, ‘안다리엘’로 명명된 해커조직을 대북제재 리스트에 등재하고, 미국 법무부는 조직원으로 추정되고 있는 박진혁, 전창혁, 김일 등 3인을 기소함

북한의 대표적인 해킹 집단

2023년 2월 기준으로 '북한의 대표적인 해킹 집단'을 나타낸 표. '해킹집단'으로는 '라자루스', '블루노로프', '안다리엘', 'APT37', '김수키'가 있다.

자료: 고명현(신동아, 2022.10.6)을 바탕으로 연구자 수정ㆍ보완

⁶ 북한의 가상자산 탈취방식이나 사례는 사이버 범죄수사와 관련되어 있어 공개된 것보다 공개되지 않은 사례가 더 많은 것으로 보임. 아울러, 자금출처에 대해 밝히길 꺼려하는 일부 투자자들이 의도적으로 피해사실을 밝히지 않은 경우도 있어 미처 확인되지 않은 사례가 더 많을 것으로 보임

⁷ 유동열, “대남간첩공작의 본산 정찰총국 해부”, 「북한」 2015년 8월(통권 524호),서울 : 북한연구소, 2015. pp.68~74

⁸ ‘라자루스(Lazarus)’는 2011년 소니픽처스 해킹사건을 조사하던 보안업체가 지은 이름. 이 조직은 해킹 당시 스스로를 ‘평화의 수호자(Guardians of Peace)’라고 부른 적이 있으나 보안업체는 해커가 남긴 흔적 중 게임 ‘디아블로’의 등장 하는 캐릭터 이름인 ‘라자루스’를 사용한 흔적을 발견하고 명명했다고 함

⁹ 해커조직의 이름은 발견한 보안회사나 정보기관이 이름을 짓는 경우가 있으며, 공격 방식이나 해커조직이 남긴 흔적(아이디 등)을 근거로 별칭을 짓는 경우가 다수

¹⁰ 한국의 국방부는 정찰총국과 산하 조직 인원을 약 6,800명으로 추정. 국방부, 「2020 국방백서」, 서울 : 국방부, 2020

¹¹ 소니픽처스 해킹 사건 : 김정은 위원장을 비하하는 내용이 담긴 영화가 개봉되자 북한 해커조직(라자루스)이 제작사인 소니 픽쳐스를 해킹하면서 보복한 사건

¹² 워너크라이 사건 : 2017년 5월 12일, 영국, 러시아 등 전세계 150여개 국에 대규모 피해를 발생시킨 랜섬웨어 감염사건. 당시 마이크로소프트(MS)의 윈도우 취약점을 악용하여 PC유저가 자신도 모르게 감염PC를 확산시킨 사건

¹³ 랜섬웨어(Ransomware) : 몸값(Ransom)과 소프트웨어(Software)의 합성어. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 말함. 미국 국가안보국(NSA)가 개발한 해킹툴이 도난당했는데 이를 훔쳤다고 밝힌 해커단체 Shadow Brockers(섀도 브로커스)가 개량하여 만든 해킹툴

¹⁴ 2011년 미국 소니픽처스를 해킹했던 가해자를 북한 해커조직으로 밝혀낸 미국 보안업체 ‘Fire Eye(파이어아이)’가 해커조직을 명명하는 방식. 이들은 ‘APT+번호’ 형태로 해커조직을 명명하는데 Fire Eye는 북한의 해커조직으로 ‘APT37’, ‘APT38’을 지칭하고 있음

북한 해커조직이 가상자산을 탈취하는 방식은 복잡하고 다양하지만 대표적으로 ▲랜섬웨어 유포, ▲가상자산거래소를 직접 해킹 ▲그 외 기타 방식 등으로 구분

○ 랜섬웨어 유포를 통한 해킹 : 개인, 기관, 기업 등 특정 혹은 불특정 다수의 계정에 이메일로 랜섬 웨어 파일을 다운받도록 유도하는 링크를 보낸 뒤 사용자의 파일들이 암호화 되면 암호를 풀어주는 조건으로 대가를 가상자산으로 요구하는 행위

한국은 물론 미국의 정부 및 공공기관에도 유포되며, 최근에는 미국의 병원, 의료기관¹⁵ 에 랜섬웨어 를 유포 및 감염시켜 병원 내 컴퓨터, 의료데이터의 사용을 통제, 가상자산을 대가로 요구하고 있음

○ 가상자산거래소 직접 해킹 : 해커가 가상자산거래소를 관리하는 기관 및 직원 혹은 용역업체 직원 계정을 해킹하여 거래소 내부에 직접 접속한 뒤 지갑서버를 해킹하여 가상자산을 불법적으로 이체

북한의 가상자산 탈취 과정

자료 : 대한민국 정부(2023)

북한 해킹 추정 가상자산거래소 피해 사례

자료 : 언론보도종합

이 외에도 빈도는 비교적 낮지만 해커들이 사용하는 다양한 공격 방식¹⁷ 이 있음

○ ‘분산 공격(Distractive attack)’ 표적 랜섬웨어 공격(Targeted Ransomware attack), ‘공급사슬 공격(Supply chain attack)’, ‘크립토재킹(Crypto Jacking)’ 등 해커 공격방식은 매우 다양함

이중 ‘공급사슬공격’은 특정 기관의 전산시스템 혹은 소프트웨어 개발작업에 끼어들어 악성코드 를 심어 놓고 공격을 하는 방식으로 해외 북한국적 IT노동자가 위장취업을 통해 공격을 시도하는 방식으로 추정되어 주의를 요하고 있음

¹⁵ 2019년 영국의 병원, 2021년 이후 미국의 병원, 의료기관을 해킹하는 사례가 늘고 있음. 대부분 이들 기관이 소장하 고 있는 ‘개인정보’ Data에 관심을 갖고 해킹하는 것으로 보이며, 이 정보데이터를 활용해 가상자산에 허위 계정을 개 설하거나 또 다른 개인에 대한 해킹 공격으로 확장하는 것으로 보임. 의료기관은 환자를 치료하기 위해 컴퓨터나 의료 데이터를 긴급하게 사용해야 하므로 경찰에 신고하기 보다 요구대로 가상자산을 전송하는 타협을 택하는 경우가 있음

¹⁶ 일본의 가상자산 거래소인 ‘코인체크(Coin Check)’의 가해자로는 러시아 해커조직이라는 의견과 북한 해커조직이 러시아 해커조직의 방식을 모방해서 해킹했다는 의견이 엇갈리고 있음

¹⁷ 분산 공격(Distractive attack)은 여러 곳에서 동시에 방어체계를 분산시키는 해킹방식, 표적 랜섬웨어 공격 (Targeted Ransomware attack)은 특정기관의 시스템을 공격해 차단하고 인질로 삼는 방식, 크립토재킹(Crypto Jacking)은 일반인 PC를 가상자산 채굴에 이용하는 방식

최근 북한 해커조직은 일반 은행이나 가상자산을 통해 탈취한 자금을 ‘현금화’하는데 집중하고 있음. 자금세탁방식에는 ▲제3국적 명의자의 도움을 얻는 방식 ▲ 믹서(Mixer)¹⁸, 브릿지(Bridge)¹⁹를 통한 방식 등이 대표적

○ 2019년 미 재무부 해외자산통제국(OFAC)에 따르면 북한 해커조직의 탈취로 추정되는 가상자산 약 1억 달러를 중국인 2명의 도움을 얻어 현금화를 시도한 정황이 알려짐²⁰

이들은 이중 일부 금액을 비트코인으로 전환하여 미국 A사의 아O튠즈 상품권(Gift card)²¹ 구매 에 사용했으며, 다시 동 상품권으로 다른 가상자산을 구매해 이를 중국 내 가상자산거래소에서 위안화로 현금화한 것으로 보임
2021년에 미 법무부에 따르면 2019년 2월에 몰타은행에서 훔친 약 13억 달러의 금액을 나이지리아인 2명의 가상자산 계좌로 송금해 일부 자금을 현금화시킨 사실이 공개되기도 함²²

○ 미 재무부는 믹서 서비스를 제공하는 ‘블렌더’, ‘토네이도 캐쉬’, ‘하모니 브릿지’ 등을 대북제재 리스트에 추가를 발표

믹서는 자금출처와 송금처를 불분명하게 하고, 브릿지는 탈취한 가상자산을 다른 가상자산으로 바꾸어 자금추적을 어렵게 하기 위해 사용되고 있음

북한 해킹조직의 믹서(Mixer)를 통한 자금세탁 시도사례

자료 : 언론보도종합

‘블렌더’를 활용한 북한 해커조직의 자금세탁 과정

자료 : 美 재무부, 연구자 편집

¹⁸ Mixer(믹서)란 가상자산을 쪼개서 자금의 출처를 불투명하게 만드는 기술임. 소유하고 있는 자산의 익명성, 탈중앙성 을 강화하려는 고객들을 위해 자금출처는 물론 입출금 내역, 그 외 정보 거래 내역 대부분을 익명화시키기 위한 기술 로 이를 북한 해커가 악용함

¹⁹ 브릿지(Bridge)란 서로 다른 종류의 가상자산 간 거래를 가능하게 해주는 기능. 브릿지 서비스는 가상자산 간 일종 의 환전소 기능과 유사

²⁰ 알려진 바에 따르면 중국인 2명의 이름은 田寅寅(톈인인), 李家東(리지아둥)으로 애플사의 아이튠즈 상품권을 가상 자산으로 구매했다가 다른 가상자산으로 판매 후 위안화로 현금화한 것으로 파악, 미 재무부는 대북제재 명단에 이 들을 등재하고 미국 내 자산동결 및 미국시민과의 금융거래를 금지함

²¹ 2019~2020년 애플사의 아이튠즈 상품권은 가상자산으로 구매도 가능했으며, 판매도 가능했음. 위 중국인 2명은 이를 가상자산 탈취금액의 자금세탁 방식으로 악용

²² 2021년 2월 21일, “북한 가상자산 해킹 나이지리아인이 도왔다”

#해커조직 #해커단체 #랜섬웨어 #해킹 #가상자산

더 많은 콘텐츠가 궁금하신가요? KB경영연구소 홈페이지에서 콘텐츠 더 보기

손광수

KB경영연구소