지난 5월 일본에서 발생한 4500억 원 상당의 대규모 비트코인 부정 유출 사건은 북한 해커집단의 소행으로 드러났다.
교도통신 등 현지 언론에 따르면 일본 경찰청과 경시청은 지난 5월 일본 가상화폐거래소 ‘DMM 비트코인’에서 발생한 비트코인 절도 사건을 북한과 관련된 해커집단인 ‘트레이더 트레이터(TT)’의 소행으로 파악했다.
앞서 DMM 비트코인에서는 가상화폐 482억 엔(약 4500억 원)을 탈취당하는 해킹 피해가 발생했다.
이 사태를 겪은 DMM비트코인은 지난 2일 폐업을 발표했다. 고객 계좌에 들어있는 자산은 SBI그룹 교환업체 SBIVC트레이드에 양도하기로 했다.
수사 결과에 따르면 이번 해킹사건은 지난 3월 트레이더 트레이터 소속 해커가 비즈니스용 소셜미디어 ‘링크드인’ 상에서 기업 채용 담당자로 위장해 DMM비트코인이 암호자산 거래 관리를 위탁한 ‘긴코(Ginco)’ 남성 직원에게 접촉하면서 발생했다.
해커가 접촉한 긴코 직원은 인도인으로 당시 텔레워크(원격·재택 근무) 중이었던 것으로 전해진다.
트레이더 트레이터 해커는 이 직원에게 “당신의 스킬(기술)에 감명 받았다. 기술을 확인해보고 싶다”면서 프로그램을 보내 실행시키도록 했다.
이 직원이 프로그램을 시행하자 트레이더 트레이터가 직원 권한을 사용할 수 있도록 하는 바이러스가 시스템에 침투됐다.
트레이더 트레이터는 입수한 직원 권한을 사용해 지난 5월 중순 이후 긴코에 대한 부정 접속을 거듭했다.
이후 긴코의 암호자산 거래 시스템을 조작해 5월 31일 DMM비트코인에서 트레이더 트레이터 관련 계좌로 약 482억엔 상당의 비트코인을 훔쳤다.
트레이더 트레이터가 유출한 비트코인 일부는 돈세탁됐다. 다른 일부는 FBI가 파악하고 있는 트레이더 트레이터 관련 계좌로 흘러들어간 것으로 확인됐다.
또한 트레이더 트레이터가 긴코 직원과 접촉하는 데 사용한 링크드인 계정, 서버가 미국 당국이 파악한 트레이더 트레이터 관련 계정, 서버와 일치하는 것으로 분석됐다.
한편, 트레이더 트레이터는 북한 정찰총국 소속 해커집단 ‘라자루스’의 조직 일부로 알려져있다. 2022년 4월부터 활동하고 있지만, 일본 내 피해가 확인된 것은 이번이 처음이다.