블록체인 서비스에서 상당한 액수의 암호화폐가 사라졌다. 일각에서는 북한 소행으로 의심되는 데다 주요 타깃이 한국이라는 점에서 국가 정보와 디지털자산을 지키기 위한 대책 마련이 시급하다고 목소리를 높인다.

(사진=챗GPT)

北 소행 추정∙∙∙근거는?

미국 북한 전문매체 NK프로는 16일(현지시각) 이달 초 북한 사이버 범죄조직이 3600만 달러 상당의 암호화폐 훔쳐 달아난 것으로 보인다고 전했다. 특히 이번 사건은 탈중앙화 서비스를 겨냥한 북한의 강도 높은 공격 형태 중 일부라고 시사했다.

신원 확인 서비스 휴머니티 프로토콜(Humanity Protocol)이 보안기업 퀀트스탬프(Quantstamp)에 의뢰해 조사한 결과, 퀀트스탬프는 이번 공격이 과거 북한의 작전을 연상시키는 도구와 전술한 점을 근거로 북한과 연계된 사이버 범죄조직 소행이라고 판단했다.

다만, 퀀트스탬프가 해킹 공격의 배후로 이 조직의 이름을 특정한 것은 아니다. 하지만 북한이 세계에서 가장 활발한 암호화폐 해킹 공격국으로 알려진 만큼, 이번 사건은 북한의 사이버 공격 전적에 또 하나의 사례로 추가됐다.

H토큰 2억여 개 탈취∙∙∙수익은 여전히 추적 중

휴머니티 프로토콜이 13일 공개한 조사 결과에 따르면 해커들은 탈취한 지갑 데이터와 인증 키를사용해 이더리움 블록체인 침투했다. 이달 8일에는 휴머니티(H) 토큰 1억4118만 개를 훔친 데 이어 스마트계약과 탈중앙화 앱을 지원하는 블록체인 플랫폼 ‘BNB 스마트 체인’(BSC)에 토큰 1억 개를 추가로 무단 발행했다. 이를 통해 조직이 탈취한 H토큰은 총 1억9,361만7148개다.

이번 공격은 ‘표적형 사회공학 공격 방식’으로 이뤄졌다. 사회공학 공격은 개인의 심리를 이용해 정보를 빼내거나 권한을 뺏는 것이다. 특정 개인이나 조직과 사전에 신뢰를 쌓은 뒤 보안상 중요한 행동을 유도한다. 즉, 사람의 판단력을 흐리게 해서 목적을 달성한다는 게 핵심이다.

해커들은 휴머니티 프로토콜 충이웨이 이사에게 피싱 이메일을 발송해 3600만 달러 규모의 H코인을 탈취했다. 해당 이메일 발신자는 충이웨이 이사가 이미 연락을 주고받던 한국 가상화폐거래소 빗썸을 사칭했다. 이메일에는 토큰 유통량 업데이트 관련 문서로 위장한 악성 첨부 파일 링크도 포함돼 있었다.

첨부파일이 진짜라고 착각한 충이웨이 이사는 5일 해당 파일을 다운로드했고, 내용 확인 후 요청에 따라 답장을 보냈다. 테렌트 곽 대표에게도 참조를 보냈다.

퀀트스탬프는 압축파일을 열면서 악성코드 ‘멀웨어 로더’가 설치된 것으로 추정했다. 멀웨어 로더는 한국 소트웨어 개발기업 한글과컴퓨터(한컴)과 연결된 인증서로 디지털 서명이 돼있다. 북한 사이버 범죄조직은 표적의 컴퓨터에 침투할 때 한컴의 독점 파일 형식을 자주 악용한다고 전해진다.

멀웨어 로더는 해커들에게 충이웨이 이사가 사용 중인 컴퓨터를 완전히 원격 제어하도록 권한을 부여했다. 해커들은 공격에 앞서 멀웨어 로더를 통해 메타마스크 지갑 정보와 인증 키를 복사했다. 보안 도구에 탐지되지 않고 원격 접속을 유지하기 위해 원격 데스크톱 세선 관리 프로그램 ‘스타즘 알디피 래퍼’(Stas’m RDP Wrapper)와 마이크로소프트 디펜더의 네트워크 검사 서비스로 위장한 파일도 설치했다.

특히 첫 번째 탈취 후 8시간 이내에 해커들은 유니스왑과 팬케이크스왑 등 탈중앙화 거래소를 이용해 새로 만든 지갑으로 훔친 자금을 옮겨 수익을 챙겼다.

보고서가 공개된 13일 기준 범죄조직에 넘어간 지갑에는 2100만 달러가 넘는 이더리움이 예치돼 있었으며, BSC에서 나온 수익은 여전히 추적 중이다.

휴머니티 프로토콜은 이더리움 토큰 계약을 범죄조직이 통제하지 못하는 다중서명 지갑을 통해 동결시켰다. 하지만 북한은 BSC 관리자 권한을 유지하고 있어 휴머니티 프로토콜이 접근을 차단하지 않는 이상 계속해서 토큰을 발행할 가능성이 크다.

“실전 사용 가능한 사이버무기 장착 필요”

한편 북한 소행으로 추정되는 암호화폐 탈취 사건은 어제오늘만의 일은 아니다. 북한 사이버 범죄조직은 2010년대 중반부터 정부의 적극적인 지원 아래 각국의 탈중앙화 거래소를 해킹하며 막대한 불법 수익을 창출해 왔다.

UN 안전보장이사회 대북제재위원회의 패널보고서에 따르면 북한의 가상자산 탈취 규모는 2017년부터 2023년까지 30억 달러 이상으로 추정된다. 2023년 탈취 규모만 해도 7억5000만 달러에 이른다.

지난 4월에는 디파이 프로토콜 ‘켈프DAO’에서 2억9000만 달러, 드리프트 프로토콜에서 2억8500만 달러 규모의 암호화폐 탈취 역시 북한 소행으로 추정된다.

개인과 기업에 막대한 금전적 피해를 입힌다는 점, 가상자산∙블록체인 산업 생태계를 파괴한다는 점, 해킹으로 빼돌린 암호화폐는 핵∙미사일 개발 자금에 활용한다는 점 등을 고려하면 북한의 암호화폐 탈취는 한국은 물론 전 세계 사이버 보안에 엄청난 위협 요소다.

한국은 2022년 한∙미 실무그룹 발족, 북한 한∙미 공동 민∙관 심포지엄 등 한∙미 공조를 통해 북한의 사이버 위협과 암호화폐 탈취 대응에 나섰다. 또 트래블룰(가상자산 금융실명제) 도입, 국가사이버안보협력센터 개설, 가상자산거래소와 협업체계 구축, 국제사회 역량강화 지원 등 제도적 역량도 강화했다.

보안 전문가들은 “지금 이 순간에도 한국의 디지털자산이 탈취되고 있다”며 해킹 취약점을 체계화해 실전 사용 가능한 사이버무기 장착 필요성을 강조한다.

스틸리언 박찬암 대표는 “개별 거래소의 보안으로는 국가급 위협을 막을 수 없다”며 “국가의 위협에는 국가의 대응이 필요하다”고 주장했다. 이어 “보안의 경계는 더는 네트워크가 아닌 계정, 권한, 데이터 흐름 등 각 요소에 존재한다”며 “그럴듯한 최신 기술이 아닌 보안의 본원적 경쟁력 확보가 필수”라고 강조했다.

성균관대 글로벌미래전략연구소 최은아 선임연구원은 “한국은 피해국 또는 정보 수신국에 머무르지 않고 국제공조의 주도적 행위자로 자리 잡아야 한다”며 “국내 피해 및 대응 경험 축적, 공격기법 분석 역량, 한∙미∙일 협력의 구체화, 국제기구 및 민간기업과의 신뢰 기반 협력체계 구축 등을 함께 논의해야 할 때”라고 말했다.