북한 해커 조직 라자루스(Lazarus)의 가상화폐 탈취 활동 빈도와 규모가 해마다 늘어나고 있다는 분석이 나왔다.
가상자산 추적분석 전문기업 클로인트(Kloint)는 최근 이 같은 내용이 담긴 ‘가상화폐 해킹 사건에 대한 북한 중심의 조사 분석 리포트’를 발간했다.
보고서에는 2022년부터 2024년 6월 17일까지 발생한 총 944건의 해킹 사건 가운데 ▲규모가 100만 달러(약 13억원) 이상이거나 ▲북한과의 연관성이 확인된 총 244건의 주요 해킹 사건에 대해서 구체적인 사건 개요 및 금액 흐름을 조사한 내용이 담겼다.
특히 라자루스 그룹의 최근 가상화폐 탈취 및 자금 세탁 패턴에 관해 집중적으로 조명했다.
구체적으로 △해킹 공격 방식 △브릿지 및 믹서를 통한 자금 세탁 방식 △자금 이동에 사용되는 주요 가상화폐 △가상화폐 탈취 활동과 미사일 실험 간의 상관관계 분석 △자금 세탁 사례(후이원 페이)를 분석했다.
분석 내용을 살펴보면 라자루스 그룹의 주요 공격방식은 프라이빗 키 탈취와 소셜 엔지니어링 공격으로, 이 기법들이 전체 공격 기법 중 63%를 차지하는 것으로 나타났다.
또 라자루스 그룹은 새로운 자금 세탁 루트를 확보하기 위해 노력하고 있다. 당초 라자루스는 자금 세탁 방법으로 토르체인과 토네이도 캐시 같은 크로스체인 브릿지와 믹서를 주로 사용했다.
다만 최근에는 토네이도 캐시 공동창업자 로만 스톰(Roman Storm)이 구속되는 등 미국 정부 제재가 강화되자 레일건 믹서와 동남아시아 지역 환전 서비스 이용하는 사례가 발견됐다.
북한 해커 조직이 주로 사용하는 5가지 코인(DAI, USDC, USDT, WBTC, WETH)을 살펴봤을 때는, USDC의 비율이 11.3%, WBTC의 비율이 7.4%로 높게 관찰됐다.
클로인트는 “여전히 이렇게 탈취된 가상화폐가 북한의 체제 유지와 군사 비용 등 국가적 차원에서 사용될 가능성이 있다는 점이 우려된다”고 지적했다.
이어 “북한은 심각한 식량난에도 불구하고 미사일 실험 횟수를 늘리며 남한에 대한 도발을 감행하고 있는 실정이다. 불법 사이버 활동을 통해 확보하는 자금이 압도적으로 증가했음을 시사하며 이에 미사일 발사에 필요한 자금을 가상화폐 탈취로 충당하고 있는 것으로 분석됐다”고 지적했다.