사이버 범죄는 위협입니다. 추정치에 따르면 사이버 범죄가 전 세계 시스템에 끼칠 수 있는 총 피해는 2021년에 미화 6조 달러에 달했습니다. 그 수치가 이미 무섭게 보인다면 2025년까지 미화 10조 5000억 달러에 이를 것으로 예상됩니다. 2015년에는 미화 3조 달러였습니다. 10년 동안 300% 이상의 성장은 우리 모두가 걱정해야 할 사항입니다. 네, 맞습니다!
사이버 범죄란 무엇입니까?
사이버 범죄는 네트워크와 시스템을 교란하고 손상시키고 해를 입히려는 많은 계획과 노력을 포괄하는 포괄적인 용어입니다. 컴퓨터, 컴퓨터 네트워크 또는 네트워크 장치를 대상으로 하는 모든 종류의 악의적인 활동이 될 수 있습니다. 공격자가 시스템을 바이러스로 감염시키는 맬웨어 공격일 수 있습니다.
피싱 캠페인은 스팸 이메일, 메시지 또는 기타 통신 형식을 사용하여 수신자를 속여 데이터 프라이버시를 손상시킵니다. IoT 장치에 자주 발생하는 분산 DoS 공격은 특정 시스템이나 네트워크를 다운시킵니다.
사이버 범죄 유형에는 금융 데이터, 카드 또는 결제 데이터 절도, 사이버 강탈, 사이버 스파이 활동, 저작권 침해, 불법 도박, 랜섬웨어 공격 등이 포함될 수 있습니다.
세계적으로 존경받는 사이버 보안 회사인 Kaspersky가 제시한 데이터에 따르면 데이터 유출, 맬웨어, 랜섬웨어 또는 DDoS 공격이 될 수 있는 단일 공격은 규모에 관계없이 회사에 평균 미화 200,000달러의 비용이 들 수 있습니다. 실제로 보험 회사 Hiscox의 데이터에 따르면 영향을 받는 회사는 공격을 받은 후 6개월 이내에 폐업할 수 있습니다.
의심할 여지 없이 사이버 범죄는 중대하고 심각한 결과를 초래합니다. 공격자 또는 해커는 전 세계적으로 퍼져 있으며 원격 위치에서 모든 시스템이나 네트워크를 공격할 수 있습니다.
그러나 범죄는 우리가 일반적으로 정부 지원 기관과 연관시키지 않는 것입니다. 그들은 법을 시행합니다. 우리는 그들을 가해자로 생각하지 않습니다. 그리고 이 시점에서 우리가 정부가 승인한 사이버 범죄 사례를 제기한다면 확실히 당황할 것입니다. 그러나 사이버 범죄를 정치적인 목적으로 사용하고 금전적 이득 이상을 추구하는 것은 드문 일이 아닙니다. 여기서 우리는 사이버 범죄를 저지르는 데 국가 공모를 주장하는 그러한 평판의 전형적인 사례에 대해 논의할 것입니다.
전창혁과 김일의 의문사
미연방수사국(FBI) 사이트는 지명 수배자 명단에 북한인 2명을 언급하고 있다. 전창혁과 김일은 모두 전신 및 은행 사기와 컴퓨터 관련 사기를 공모한 혐의로 기소됐다. 둘 다 역사상 가장 비용이 많이 드는 컴퓨터 침입을 초래한 범죄 음모에 가담한 국가 지원 해커라고 합니다. 그러나 이들은 평범한 피고인이 아닙니다. 이들은 약탈 자금이라는 단순한 의제로 일하는 가해자가 아닙니다. 그들의 목적은 예상보다 더 깊고 어둡습니다.
두 사람 모두 북한 정찰총국 해커 집단의 일원으로 추정된다. 그들 둘 다 참여한 음모는 많은 사이버 보안 연구자들이 APT38(Advanced Persistent Threat 38) 또는 “Lazarus Group”이라고 명명한 북한 해킹 그룹으로 구성됩니다.
Lazarus Group과 그로 의심되는 비행
‘악명 높은’ 라자루스 그룹에 대한 가장 최근의 언급은 2022년 1월 말에 FBI가 2022년 6월 미화 1억 달러 규모의 Harmony Bridge 해킹을 조율한 그룹임을 확인했을 때 표면화되었습니다.
2022년 6월 23일, Harmony 프로토콜 팀은 Horizon 브리지에서 약 1억 달러에 달하는 도난을 확인했습니다. FBI는 1월 23일 성명에서 라자루스 그룹과 APT38, ‘북한과 관련된 사이버 행위자’가 미화 1억 달러 상당의 가상화폐 절도에 책임이 있음을 확인했습니다. 공격자는 Harmony의 Horizon Ethereum 브리지에 존재하는 보안 허점을 악용하고 11건의 트랜잭션을 통해 브리지에 저장된 여러 자산을 훔쳤습니다.
Harmony Horizon Bridge 해킹 이전에 악명 높은 Lazarus 그룹의 이름은 2022년 3월 6억 달러 규모의 Ronin Bridge 해킹 보고서에도 등장했습니다. 해킹된 자금은 무려 6억 1,200만 달러에 달합니다. 여기에는 173,600 ETH와 2,550만 USD 코인이 포함되었습니다.
NFT(Play-to-Earn Non-Fungible Token) 게임인 Axie Infinity는 Ronin을 Ethereum 사이드체인으로 사용했습니다. Axie Infinity의 개발자인 Sky Mavis는 공격의 성격을 설명하면서 해커가 개인 키에 액세스하여 유효성 검사기 노드를 손상시키고 거래를 부정하게 승인하여 브리지에서 자금을 빼냈다는 사실을 지적했습니다.
미국 재무부 해외 자산 관리국은 2022년 4월 중순에 특별 지정 국민 및 차단된 사람(SDN) 목록을 업데이트하여 Lazarus Group이 해킹을 조율할 가능성을 제안했습니다. 해커들은 매우 정교하고 은밀하여 암호화 공간에서 가장 큰 강도 사건 중 하나임에도 불구하고 해킹이 발생한 지 며칠 후에 발견되었습니다.
Lazarus Group이 프라이버시 프로토콜인 RAILGUN을 활용하여 해킹 중에 도난당한 미화 6,000만 달러 이상의 이더리움을 전달한 Harmony Horizon Bridge 해킹의 성격도 마찬가지였습니다. FBI 조사에 따르면 이 자금의 일부는 일부 VASP와 협력하여 동결된 상태로 유지되었으며 나머지 비트코인은 이후 다른 주소로 이동되었습니다.
FBI는 이 북한 그룹의 노력을 식별, 가로채고 방해하기 위해 미 법무부 및 미 법무부 크립토 부서와 함께 사이버 및 가상 자산 부서를 배치했습니다. 국은 그룹의 가상 통화 절도 및 세탁이 북한의 탄도 미사일 및 대량 살상 무기 프로그램을 지원하기 위한 것이라고 믿고 있습니다.
합동 사이버 보안 주의보 발령
2022년 4월 18일, CISA(Cybersecurity and Infrastructure Security Agency)는 FBI 및 미 재무부와 함께 ‘블록체인 기술 및 암호화폐 산업을 대상으로 하는 북한 국가 지원 활동’에 대한 주의보를 발표했습니다.
위협
이 권고는 암호화 절도와 관련된 사이버 위협이 적어도 2020년부터 활성화되었다고 지적합니다. 이 문서는 또한 이 APT(Advanced Persistent Group) 위협이 북한 국가의 후원을 받고 있음을 모호하지 않게 인식했습니다. 기관은 그룹을 Lazarus Group, APT 38, BlueNoroff 및 Stardust Chollima로 표시했습니다.
위협에 대한 미국 정부의 분석에 따르면 이러한 악의적인 사이버 행위자는 블록체인 및 암호화 산업의 다양한 조직을 대상으로 하는 개체로 표시됩니다. 그들은 아무것도 아끼지 않습니다. 대상 목록에는 암호화폐 거래소, DeFi 프로토콜, P2E 암호화폐 비디오 게임, 암호화폐 거래 회사, VC 펀드, 대량의 암호화폐 또는 가치 있는 NFT 개인 보유자가 포함됩니다.
Lazarus Group 및 이와 유사한 사이버 활동가는 다양한 커뮤니케이션 플랫폼을 통해 피해자를 사회 공학적으로 유인하여 결국 Windows 및 macOS 운영 체제에서 트로이목마 암호화 애플리케이션을 다운로드하도록 유인합니다. 이러한 응용 프로그램을 통해 이러한 해커와 공격자는 최종 사용자의 컴퓨터에 액세스하고 전체 네트워크 환경에 맬웨어를 배포합니다.
권고는 Lazarus Group이 블록체인 및 암호화 산업의 다양한 회사, 법인 및 거래소를 표적으로 삼은 책임이 있다고 지적했습니다. 그들의 방법은 스피어 피싱 캠페인과 멀웨어를 사용하여 훔치는 것이었습니다.
AppleJeus 악성코드
FBI, CISA 및 DoT는 특히 지난 몇 년 동안 30개 이상의 국가에서 암호화 절도를 위해 조직을 표적으로 삼은 Lazarus Group의 AppleJeus 멀웨어 사용을 인정했습니다. 기관 보고서는 북한이 적어도 2018년부터 암호화폐 거래 플랫폼으로 가장한 ‘AppleJeus 악성코드’를 사용했다고 지적했습니다.
악성 애플리케이션은 합법적인 암호화폐 거래 회사에서 생성한 것으로 보입니다. 그리고 멀웨어에 갇힌 개인은 합법적인 웹사이트에서 타사 애플리케이션으로 믿고 다운로드합니다.
북한 정부는 2018년 발견된 이후 지난 5년간 여러 버전의 악성코드를 사용한 것으로 추정된다.
실행 방법
사이버 범죄자는 암호화 비즈니스 직원에게 많은 수의 피싱 캠페인을 전송하여 작업을 시작합니다. 그들은 주로 시스템 관리 또는 소프트웨어 개발/IT 운영(DevOps)에서 일하는 사람들을 대상으로 합니다.
이러한 해커가 보내는 메시지는 대부분 고임금 일자리를 제안하는 채용 알림입니다. 이러한 유혹으로 그들은 정부에서 TraderTraitor라고 하는 맬웨어가 포함된 암호화 응용 프로그램을 다운로드하도록 직원을 부추깁니다. TraderTraitor 캠페인은 현대적인 디자인의 광고가 포함된 웹사이트를 특징으로 합니다.
전창혁을 FBI 긴급 지명수배 명단에 올리면서 “수많은 암호화폐 거래소 및 기타 기업을 대상으로 한 악성 암호화폐 애플리케이션의 개발 및 유포”에 직접 연루된 혐의가 있다며 그의 이름에 유사한 범죄 태그를 붙였습니다.
김일의 범죄 혐의는 “금융 기관의 사이버 가능 강탈”과 마린 체인 ICO 사기와 관련이 있습니다.
Marine Chain ICO 사기는 세 명의 북한 정보 요원에 의해 시작되었습니다. 2018년 ICO 붐이 한창일 때 프로젝트를 통해 약 120억 달러가 모금된 시기에 부정하게 자금을 모으는 악의적인 계략이었습니다.
마린체인은 스스로를 “블록체인 기술로 가능해진 차세대 글로벌 해양 투자 시장”으로 내세웠다. 선박 소유자는 선박의 부분 소유권을 토큰화하고 이러한 부분 소유권 코인을 개인과 기관에 판매할 수 있다고 약속했습니다. 그들은 그것을 이더리움 블록체인에서 이루어질 것을 약속한 Vessel Token Offerings라고 불렀습니다.
김일과 전창혁, 박진혁은 모두 북한 출신으로 해양 ICO의 창립자였습니다. 이들은 자신들이 북한군 정찰총국(RGB) 소속이라는 사실을 숨겼다. 그들은 미국의 제재를 피하기 위해 가명을 사용하고 ICO에서 모금된 모든 돈을 북한으로 보냈습니다. 이 트리오는 많은 갈취 음모와 사이버 공격을 통해 미화 13억 달러의 절도 미수 혐의로 기소되었습니다.
무슨 일이 일어날까요?
미국 수사 기관이 정기적으로 해킹과 강탈 시도를 발견하고 추적하는 동안 김일과 전창혁은 계속해서 FBI의 지명 수배자 명단에 올라 있습니다. 체포영장이 발부되었습니다. 그러나 CISA는 공개에서 “이러한 행위자들은 북한 정권을 지원하기 위한 자금을 생성하고 세탁하기 위해 암호화폐 기술 회사, 게임 회사 및 거래소의 취약성을 계속 악용할 가능성이 높다”고 확신했습니다.
