2년간 코인 2조6000억원 해킹 '라자루스', 정체가 뭐니? [황두현의 웹3+]

北 연계 해커 그룹 '라자루스'
2년간 2조6000억원어치 코인 탈취
가상자산 해킹 사건 30% 연루
체이널리시스 "보안 교육 적극 투자해야"

가상자산(암호화폐) 업계를 향한 해커 집단 '라자루스'의 공격이 다시금 거세지고 있다. 블록체인 데이터 분석 업체 엘립틱이 발표한 자료에 따르면 최근 3개월간 라자루스가 훔친 가상자산은 2억4000만달러(약 3400억원) 규모다. 범위를 2년으로 넓히면 그 규모는 무려 19억9040만달러(약 2조6000억원)에 달한다.

조사당국은 이들의 정확한 실체를 파악하지도, 마땅한 해결책을 내놓지도 못하고 있다. 보안 업계는 보안 전략 및 도구에 대한 적극적 투자와 패치 및 보안 상태를 항상 최신으로 유지하는 등의 방법을 통해 해킹 피해를 예방할 것을 조언했다.

해커 집단 '라자루스'는 2007년 창설된 것으로 파악된다. 북한의 정찰총국과 긴밀한 관계를 맺고 있어 사실상의 북한 해커 집단으로 인식되고 있다. 지난 2014년 미국 연방수사국(FBI)도 라자루스의 배후로 북한을 지명한 바 있다. 라자루스가 해킹으로 얻은 가상자산이 북한의 미사일 개발에 사용되고 있다는 분석도 있다. 유엔(UN)은 보고서를 통해 "북한의 해커 그룹이 핵미사일 자금 조달을 위해 전 세계의 가상자산과 금융 거래소를 표적으로 삼고 있다"고 경고했다.

라자루스의 타깃은 가상자산에 한정되지 않는다. 본격적으로 가상자산 업계를 타깃으로 삼은 2017년 전까지 라자루스는 대기업, 국가기관 등을 가리지 않고 공격했다. 대표적인 예가 2014년 소니 픽처스와 2016년 방글라데시 중앙은행 해킹 사건이다.

소니 픽처스는 앞선 2014년 북한과 김정은을 희화화한 영화 '인터뷰'의 제작 계획을 발표했다. 이후 소니 픽처스는 알려지지 않은 해커 집단으로부터 공격을 받았고 간부들의 연봉, 기밀 이메일, 미개봉 영화 등이 온라인에 공개됐다. 당시 소니 픽처스를 공격한 해커 집단의 정체는 밝혀지지 않았다. 하지만 2018년 미 법무부가 라자루스의 일원인 북한 해커 '박진혁'을 해당 범죄로 기소하면서 사실상 라자루스의 소행임이 밝혀졌다.

2년 뒤에는 방글라데시 중앙은행을 공격하기에 이른다. 라자루스는 방글라데시와 미국 뉴욕의 시차를 이용했다. 방글라데시 중앙은행의 휴무날인 금요일, 라자루스는 방글라데시 중앙은행을 사칭해 미 뉴욕 연방준비은행(연준)에 접근했고 방글라데시 미국 달러 계좌에 들어있는 보유액 전체인 10억달러(당시 기준 약 1조1330억원) 인출을 시도, 이 중 8100만달러를 훔치는데 성공했다.

라자루스는 2017년 '워너크라이 랜섬웨어'를 이용한 영국 국민보건서비스(NHS) 공격을 시작으로 가상자산 해킹을 본격화했다. NHS 산하 40여 개 병원의 환자 기록에 암호화된 파일을 걸고 이를 푸는 대가로 비트코인(BTC) 300달러(당시 약 34만원)를 요구하는 식이었다.

당시 벤 월리스 영국 내무부 차관은 "해커 집단 라자루스가 이번 공격을 감행했으며 우리가 아는 한 북한이 여기에 연루돼 있다"는 조사 보고서를 발표했다.

국가기관·대기업도 해킹하는 '라자루스', 북한이 배후? 가상자산 해킹 30%, 라자루스 연루···업계 "보안에 적극 투자해야"

2017년 NHS 공격을 기점으로 라자루스는 가상자산 거래소, 디파이(탈중앙화거래소), 플레이투언(Play to Earn, P2E) 프로젝트 등을 가리지 않고 가상자산 탈취에 나서고 있다. 블록체인 데이터 분석기업 체이널리시스에 따르면 올해 9월 19일 기준 전체 가상자산 도난 사건의 29.7%가 라자루스의 소행인 것으로 나타났다.

특히 작년에는 16억달러(약 2조1286억원)에 달하는 가상자산을 빼돌리면서 가상자산 시장에 큰 파동을 줬다. 특히 글로벌 P2E 프로젝트 '엑시인피니티(AXS)'는 치명적인 피해를 당했다. 라자루스는 작년 3월 엑시인피니티의 사이드체인 '로닌 네트워크'를 공격해 이더리움 17만3600개와 USD코인(USDC) 2550만개를 탈취했다. 이는 6억달러(약 7986억원) 상당으로 북한의 해당연도 상반기 미사일 자금(약 8700억원)과 맞먹는 수치다. 엑시인피니티 토큰은 해킹 이후 80% 이상 폭락했다.

이밖에도 수많은 가상자산을 탈취해 온 라자루스는 최근 3개월간 2억 4000만 달러어치의 가상자산을 탈취하면서 활동을 확대하고 있다. 지금까지 배후로 지목된 사건만 코인엑스(5400만달러), 코인스페이드(3730만달러), 스테이크닷컴(4130만달러), 아토믹월렛(1억달러), 알파포(2300만달러) 등 5건에 이른다.

경찰청 국가수사본부 안보수사국에 따르면 라자루스는 방문 가능성이 높은 사이트를 우선 감염시킨 다음 해당 사이트에 접속한 컴퓨터에 악성코드를 심는 '워터링홀' 수법을 사용한다. 가상자산 관계자와 같은 특정 인물을 목표로 삼아 악성코드를 심은 다음 시스템을 원격으로 제어하는 것이다.

에린 플랜트(Erin Plante) 체이널리시스 조사총괄 부사장은 21일 블루밍비트에 "북한 해커들은 특정 국가를 표적으로 삼지는 않는다. 산업을 표적으로 삼고 실행에 옮기는 것"이라면서 "업계는 보안 전략과 도구에 적극적으로 투자해야 한다. 직원들이 의심스러운 이메일, 링크, 사이트 등을 식별할 수 있는 교육이 이뤄져야 한다. 경계를 늦추지 않고 사이버 방어책을 강화하는 것이 매우 중요하다"고 조언했다.

한국인터넷진흥원(KISA) 관계자도 "시스템과 소프트웨어를 최신 상태로 유지하고 패치 및 보안 업데이트를 즉각 적용해야 한다"면서 "운영체제와 웹 브라우저도 최신 버전으로 유지해 취약점을 최대한 줄이는 것이 좋다"고 전했다.

<블록체인·가상자산(코인) 투자 정보 플랫폼(앱) '블루밍비트'에서 더 많은 소식을 받아보실 수 있습니다>



황두현 블루밍비트 기자 cow5361@bloomingbit.io