북한 해킹 조직이 미국의 제재 대상인 믹서 업체를 이용해 가상화폐를 세탁했다는 분석이 나왔습니다. 미국 정부가 제재를 강화하고 있지만 자금을 세탁하는 북한의 수법도 계속 진화하고 있는 것으로 보입니다. 안준호 기자가 보도합니다.
글로벌 블록체인 분석업체인 엘립틱(Elliptic)은 북한의 사이버 해킹 조직인 라자루스 그룹이 13일부터 가상화폐 믹서 업체인 토네이도 캐시를 통해 2천300만 달러어치의 자금을 세탁했다고 15일 밝혔습니다.
엘립틱은 지난해 11월 가상화폐 거래소 ‘HTX’와 HTX의 크로스 체인 브릿지인 ‘헤코 브릿지(HECO Bridge)’에서 도난당한 1억1천250만 달러 상당의 가상화폐가 이더리움의 이더(ETH)로 교환돼 휴면 상태에 있다가 13일부터 ‘토네이도 캐시’를 통해 전송되기 시작했다고 밝혔습니다.
엘립틱은 지난해 11월 발생한 가상화폐 도난 사건과 관련해 해킹의 여러 특징과 이후 자금 이동을 근거로 라자루스 그룹의 소행이라고 추정했었습니다.
라자루스 그룹은 북한 정찰총국의 통제를 받는 해킹 조직으로 지난 2019년 미국 재무부 해외자산통제실의 제재 명단에 올랐습니다.
엘립틱은 일반적인 가상화폐 세탁 패턴에 따라 탈취된 토큰은 탈중앙화 거래소를 통해 즉시 이더로 교환돼 이달 초까지 휴면 상태에 있다가 13일부터 60건 이상의 거래를 통해 이 가운데 2천300만 달러 이상의 이더가 토네이도 캐시로 전송됐다고 밝혔습니다.
[엘립틱] “In November 2023, $112.5 million in cryptocurrency was stolen from crypto exchange HTX and its cross-chain bridge, known as HECO Bridge. Elliptic and others have attributed this theft to North Korea’s Lazarus group, based on various attributes of the hack and the subsequent movement of funds. Following common crypto-laundering patterns, the stolen tokens were immediately swapped for ETH, using decentralized exchanges. The stolen funds then lay dormant until March 13 2024, when the stolen cryptoassets began to be sent through Tornado Cash.”
토네이도 캐시는 가상화폐 거래 내역을 알아볼 수 없도록 난독화하는 일명 ‘믹서’ 업체입니다.
믹서는 가상화폐를 쪼개고 섞어서 재분배하는 기술로 이 과정을 반복하면 자금 추적과 사용처, 현금화 여부 등 가상화폐의 거래 추적이 어려워집니다.
유엔 대북 제재를 받는 북한은 해커들을 이용해 가상화폐를 탈취하고 믹서 업체를 통해 해킹 자금을 세탁해 불법적인 핵∙미사일 개발 자금과 정권 유지 자금을 마련하는 것으로 알려져 있습니다.
미국 재무부는 지난 2022년 8월 토네이도 캐시가 라자루스 그룹이 불법적인 해킹 범죄로 탈취한 4억5천500만 달러 상당의 가상화폐를 세탁하는 역할을 했다는 이유로 행정명령에 의거해 제재했었습니다.
토네이도 캐시를 통한 자금 세탁이 막히자 라자루스 그룹은 대신 다른 믹서 업체인 ‘신바드(Sinbad)’를 통해 자금 세탁을 계속했습니다.
그러나 지난해 11월 말 미국 재무부는 신바드가 라자루스 그룹의 주요 자금 세탁 도구로 사용된 것으로 드러났다며 특별 지정 제재 명단에 포함시켰습니다.
당시 재무부는 보도자료에서 최근 북한 소행으로 드러난 해킹 사건의 탈취 자금 수백 만 달러가 신바드를 통해 처리됐다고 지적했습니다.
엘립틱은 신바드가 제재 대상에 포함되면서 라자루스 그룹이 대규모 자금 세탁과 거래 추적을 모호하게 하는 수단으로 토네이도 캐시를 다시 사용하는 것으로 보인다고 진단했습니다.
엘립틱은 “토네이도 캐시는 제재에도 불구하고 계속 운영되고 있다”면서 “이 믹서는 탈중앙화된 블록체인에서 실행되기 때문에 신바드와 같은 중앙화된 믹서와 같은 방식으로 폐쇄될 수 없다”고 지적했습니다.
[엘립틱] “However, Tornado Cash continues to operate despite sanctions. The mixer operates through smart contracts running on decentralized blockchains, so it cannot be seized and shut down in the same way that centralized mixers such as Sinbad.io have been.”
미국 정부는 북한이 이 같은 사이버 범죄를 계속할 것으로 보고 있습니다.
미국의 정보기관을 총괄하는 국가정보국장실(ODNI)은 지난 11일 공개한 ‘연례 위협 평가’ 보고서에서 “북한은 특히 가상화폐 절도와 같은 현재 진행 중인 사이버 공격을 계속하고 훔친 가상화폐를 세탁하고 현금화하기 위한 광범위한 다양한 방법을 모색하며, 추가 자금을 벌기 위해 해외 정보기술(IT) 인력 프로그램을 유지할 것”이라고 전망했습니다.
[ODNI 보고서] “North Korea will continue its ongoing cyber campaign, particularly cryptocurrency heists; seek a broad variety of approaches to launder and cash out stolen cryptocurrency; and maintain a program of IT workers serving abroad to earn additional funds.”
VOA 뉴스 안준호입니다.