북한 해커부대 라자루스 그룹이 전세계에서 탈취한 가상자산 일부를 캄보디아 소재로 금융서비스로 이동시켜 자금 세탁을 하고 있는 정확이 포착됐다.
가상자산 추적분석 전문기업 클로인트의 CRC(크립토 리서치 센터)는 “라자루스가 관여한 전세계의 주요 해킹사고에 대한 자금 세탁 경로를 추적한 결과, 지난 6월 4일부터 이틀간 라자루스 탈취자금 중 약 180만 달러의 자금이 토르체인(Thorchain Network)을 통해 캄보디아 후이원 그룹 금융 자회사로 이동했다”고 밝혔다.
CRC는 후이오네 페이가 지난해 6월부터 올해 2월 사이에 북한 라자루스의 디지털 지갑에서 15만달러(약 2억원) 이상의 가상자산을 송금받은 것으로 파악했다.
이 가상자산은 익명의 디지털 지갑에서 후이오네 페이로 전송된 것으로 나타났다.
라자루스 해커들이 지난해 6월과 7월 피싱 공격으로 가상자산 회사 3곳에서 훔친 자금을 입금하는 데 사용됐을 것으로 추정된다.
클로인트는 “라자루스 그룹은 그동안 주로 ‘신바드’ 믹서 서비스를 이용해 자금세탁을 해왔으나, 지난해 11월 미국 재무부의 제재로 루트가 막히자 금융규제가 상대적으로 느슨한 캄보디아의 후이원 페이 서비스를 새로운 루트로 활용하는 것으로 의심된다”고 분석했다.
앞서 미국 연방수사국(FBI)은 지난해 8월 라자루스가 아토믹 월렛, 코인스페이드 등의 가상자산 업체에서 약 1억600만달러를 탈취했다고 밝힌 바 있다.
FBI는 해당 자금이 북한의 무기 프로그램 개발에 사용됐을 것으로 보고 있다.
토르체인 2021년 설립된 회사로, 초기에는 온라인 마켓플레이스로 부동산과 자동차 거래로 시작했다. 그러다 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목을 받고 있다.
특히 ‘돼지도살(Pig Butchering)’이라는 자금세탁 기법을 이용하고 있는 것이 특징이다.
이들이 운영하는 마켓플레이스는 텔레그램 기반의 수천 개 메시징 채널로 구성돼 있으며, 각 채널은 판매자가 독립적으로 관리하고 주요 결제 수단으로 암호화폐인 USDT 스테이블 코인이 사용된다.
이와 관련해 최근 영국 일립틱리서치(Elliptic Research)는 후이원 보증의 마켓플레이스에서 암호화폐 지갑을 이용해 최소 100억달러 규모의 거래가 일어났고 상당부분이 자금세탁과 사기에 관련돼 있다고 밝힌 바있다.