지난해 평양 해커들이 약 17억 달러 상당의 디지털 자산을 불법으로 탈취하면서 북한의 국가 지원 암호화폐 절도 행위가 빠르게 계속됐다.

또한보십시오: 라이브 웨비나 | OT 패치의 어려움 탐색

이 17억 달러는 북한 경제의 상당 부분을 차지하고 핵무기 프로그램에 자금을 지원했을 가능성이 있다고 블록체인 분석 회사 체이널리시스(Chainalysis)는 말합니다. 북한은 국가의 지원을 받는 해커가 자국의 금전적 이득을 위해 공격하는 드문 국가입니다. 1948년부터 국가를 통치해 온 세습 전체주의 정권은 세계 무대에서 스스로 부과한 독재와 천민 지위를 감안할 때 경화를 추구하는 범죄 활동에 오랫동안 자금을 지원해 왔습니다.

북한과 연결된 해커를 포함한 사이버 범죄자들은 ​​사람들이 합법적인 목적으로 암호화폐를 사용하는 것과 같은 이유로 암호화폐를 사용합니다. Chainalysis의 수석 조사 책임자인 Erin Plante는 정보 보안 미디어 그룹(Information Security Media Group)에 이렇게 말했습니다. “이것은 세계 경제에서 단절된 국가에 특히 유리합니다.”라고 그녀는 말합니다.

Plante는 북한 해커들이 훔친 자금을 해킹하고 세탁하는 데 “체계적이고 정교”하며 대규모로 암호화폐 기반 범죄를 지원하는 국가의 지원을 받고 있다고 말합니다.

탈중앙화 금융은 온갖 종류의 해커들에게 독특하고 매력적인 목표를 제시하며 평양은 이를 이용했습니다. DeFi 프로토콜은 오픈 소스이므로 해커가 익스플로잇을 위해 구역질나게 연구할 수 있다고 Plante는 말합니다. 시장에 도달하고 빠르게 성장하려는 프로토콜의 인센티브가 보안 모범 사례의 실패로 이어질 가능성이 있다고 그녀는 덧붙입니다. 2022년 해커가 도난당한 것으로 기록된 38억 달러 중 DeFi 플랫폼에서 도난당한 금액이 31억 달러에 달합니다.

Plante는 북한 해커들이 피싱 미끼, 코드 악용, 맬웨어 및 고급 사회 공학을 사용하여 자금을 그들이 통제하는 지갑으로 빼돌린다고 말합니다. 그들은 “계산된” 세탁 방법을 가지고 있으며 혼합과 같은 난독화 기술을 배포하여 입금 및 출금 암호 화폐 간의 연결을 끊습니다. 그들은 또한 단일 트랜잭션에서 여러 종류의 암호 화폐 간에 교환하는 프로세스인 체인 호핑을 통해 도난당한 자금을 이동합니다.

DeFi 서비스에 보관된 암호화 자산이 가치가 있고 취약한 한 나쁜 행위자는 이를 훔치려 할 것입니다. 그들을 막을 수 있는 유일한 방법은 업계가 보안을 강화하고 라자루스와 같은 그룹이 널리 사용하는 사회 공학과 같은 위협을 식별하도록 암호 회사를 훈련시키는 것이라고 그녀는 말했습니다.

훔친 자금 유출

Cryptomixers는 북한 자금 세탁의 “초석”이라고 Chainalysis는 말합니다. “북한 관련 해커가 수행한 해킹 자금은 다른 개인이나 그룹이 훔친 자금보다 훨씬 높은 비율로 믹서로 이동합니다.”

Cryptomixer Tornado Cash는 2021년과 2022년 대부분의 자금 세탁에 선호되는 플랫폼이었지만 미국은 8월에 서비스를 제재하여 사용을 중단했습니다. 여전히 운영 중이지만 믹서는 서비스가 플랫폼에서 자금의 출처와 목적지를 난독화하기 위해 볼륨에 의존하기 때문에 소수의 사람들이 믹서를 사용하면 덜 효과적입니다(참조: 북한은 미국이 제재를 가한 후 토네이도 현금을 피합니다).

북한과 연계된 해커들은 미국의 제재 위협에 단념할 것 같지 않다. 그러나 이번 제재로 인해 위협 행위자들이 부당하게 얻은 이득을 현금화하기가 더 어려워졌다고 Plante는 말합니다.

체이널리시스는 범죄자들이 2022년 4분기에 믹서 사용을 다양화했다고 밝혔습니다. 그들은 연방 정부가 토네이도 캐시를 승인한 지 두 달 만에 서비스 광고를 시작한 비트코인 ​​믹서인 Sinbad에 집중한 것으로 보입니다. 분석 회사의 조사관은 12월 플랫폼에서 북한 해커의 첫 거래를 관찰했습니다.

2022년 12월에서 2023년 1월 사이에 해커들이 믹서에서 2,420만 달러를 세탁했다고 Chainalysis는 결론지었습니다. 여기에는 Sinbad를 통해 6억 달러 규모의 Axie Infinity 해킹에서 도난당한 자금의 “일부”를 세탁한 북한 관련 Lazarus Group이 포함됩니다.

해커들은 또한 개인 메시징 앱이나 Tor 브라우저를 통해서만 액세스할 수 있고 일반적으로 다크넷 포럼에서만 광고되는 표준 믹서로 잘 알려지지 않은 지하 서비스를 점점 더 많이 사용하고 있다고 Plante는 ISMG에 말했습니다.

그녀는 또한 다양한 복잡성을 지닌 브랜드 이름과 맞춤형 인프라를 갖춘 서비스가 증가하고 있음을 확인했습니다. 일부는 단순히 개인 지갑의 네트워크로 기능하는 반면 다른 것들은 인스턴트 교환기 또는 믹서와 더 유사하다고 그녀는 말합니다. “그들을 연결하는 것은 사이버 범죄자를 대신하여 암호화폐를 거래소로 옮기고 법정 화폐 또는 깨끗한 암호화폐로 교환한 다음 사이버 범죄자에게 다시 보내는 능력입니다.”

반격

Plante는 법 집행 기관이 도난당한 암호화폐를 해킹이 더 이상 가치가 없을 정도로 압류할 수 있는 능력을 계속 개발해야 한다고 말합니다.

연방 수사관은 작년에 북한 해커들이 Web3 보안 회사와 제휴하고 블록체인에서 자금을 추적하여 Axie Infinity의 Ronin 브리지 해킹에서 훔친 자금을 압수했습니다. 미 FBI는 또한 Lazarus를 Harmony가 운영하는 1억 달러 규모의 Horizon 브리지 해킹 배후의 유죄 당사자로 확인했습니다.

유사한 조치가 2023년에도 거의 확실하게 발생할 것이라고 Plante는 말합니다.

“모든 거래가 공개 원장에 기록된다는 것은 법 집행 기관이 사실 이후 몇 년이 지난 후에도 항상 따라야 할 흔적이 있다는 것을 의미하며, 이는 시간이 지남에 따라 조사 기술이 향상되기 때문에 매우 중요합니다.”