북한 정찰총국 산하 해커 조직 ‘라자루스’가 중국 가상자산 투자자를 사칭해 피싱 공격을 펼치는 정황이 포착됐다.
미국 자유아시아방송(RFA)은 29일(현지시간) 블록체인 보안업체 ‘슬로우미스트’가 엑스(X·옛 트위터) 계정을 통해 “라자루스가 구인·구직 사이트 링크드인에서 피해자들의 정보를 빼내고 자산을 탈취하고 있다”는 경고를 내놨다고 보도했다.
보도에 따르면 라자루스는 중국의 유명 가상자산 투자사 ‘펜부시 캐피털’의 파트너 투자자인 ‘레밍턴 옹’의 사진과 이력 등을 짜깁기해서 ‘네빌 볼슨’이라는 가상의 인물을 만들었다.
네빌 볼슨을 통해 라자루스는 ‘IT 분야 개발자를 찾는다’며 피해자에게 접근해 회의에 참석할 수 있는 링크를 보내 각종 정보를 빼냈다.
북한은 가상자산을 악용한 다양한 범죄를 벌이고 있다.
앞서 마이크로소프트 사도 북한 해커집단인 ‘사파이어 슬릿’이 IT 개발자들의 기술을 평가하는 가짜 웹사이트를 만든 뒤 링크드인으로 만난 개발자들을 끌어들여 개인정보를 탈취하고 있다고 경고한 바 있다.
특히 라자루스는 2020년부터 2023년까지 4년 동안 25건 이상의 가상자산 해킹을 저질렀다는 연구 결과가 나오기도 했다.
온체인 리서처 잭XBT(ZachXBT)에 따르면 북한 라자루스 그룹은 가상자산 믹싱 서비스 및 개인간거래(P2P) 마켓플레이스를 고루 사용하는 방식으로 가상자산을 탈취했다.
해킹으로 탈취한 자산은 테더(USDT) 스테이블코인으로 환전한 것으로 파악됐다. 스테이블코인으로 환전하면 현금화에 용이하다.
북한이 가상자산 관련 회사를 상대로 한 사이버 공격을 통해 탈취한 금액은 약 30억 달러(약 4조원)에 이르는 것으로 파악됐다.
유엔 안보리 산하 대북제재위원회는 현지 시각 지난달 20일 공개한 전문가 패널 보고서에서 “2017~2023년 북한이 가상자산 관련 회사를 상대로 한 사이버 공격을 통해 탈취한 금액이 약 30억 달러로 추산된다”고 전했다.
북한은 이렇게 훔친 암호화폐를 현금으로 세탁해 전체 외화 수입의 절반을 조달하고, 이 자금으로 핵무기 등 대량살상무기(WMD) 개발 재원의 40%를 충당한 것으로 분석됐다.