북한 해킹 조직 ‘라자루스(Lazarus)’가 대만 암호화폐 거래소 ‘비트로프(Bitropro)’를 해킹해 약 1150만 달러(한화 약 158억 원) 상당의 암호화폐를 탈취한 것으로 나타났다.
비트로프는 19일 자사 웹사이트 공지를 통해 지난달 9일 발생한 이 해킹 사건이 북한 해킹 조직의 수법과 일치한다고 밝혔다. 이번 사건에 대한 조사는 거래소 내부 보안팀과 외부 사이버 보안업체가 공동으로 진행했다.
보고서에 따르면, 라자루스는 소셜 엔지니어링 기법을 통해 클라우드 인프라를 담당하던 직원 한 명을 타깃으로 삼아 회사 네트워크에 접근했고, 악성 코드를 설치해 내부 시스템을 장악했다.
이후 라자루스는 감염된 직원의 컴퓨터를 통해 운영 데이터를 모니터링하고, 회사의 안티바이러스, 엔드포인트 보호, 클라우드 보안 시스템을 우회한 것으로 확인됐다. 특히 AWS 세션 토큰 탈취를 통해 다중 인증(MFA)까지 회피하며 보안을 무력화시켰다.
비트로프 측은 “공격은 시스템 업그레이드와 자산 이전이 이루어지던 시점에 맞춰 진행됐으며, 정상 운영을 가장한 방식이었다”고 설명했다. 라자루스는 자체 서버에서 악성 스크립트를 암호화폐 핫 월렛(Hot Wallet)이 설치된 호스트에 배포해 자산을 빼돌렸다
탈취된 암호화폐는 추적을 피하기 위해 ‘토네이도 캐시(Tornado Cash)’, ‘토르체인(ThorChain)’, ‘와사비 월렛(Wasabi Wallet)’ 등을 통해 비트코인으로 변환 및 분산되었다. 이들 도구는 북한 해커들이 자주 사용하는 암호화폐 세탁 경로로 알려져 있다.
라자루스는 올해 2월에도 유사한 방식으로 암호화폐 거래소 바이비트(Bybit)를 해킹해 15억 달러 상당을 탈취한 전력이 있다. 보안업체 세코이아(Sequoia)가 발간한 보고서에 따르면, 라자루스는 점점 정교해진 기술과 전략을 사용해 글로벌 암호화폐 거래소를 겨냥하고 있다.
한편, 이번 사건은 국제사회에서 북한 사이버 범죄 활동의 위협성을 재차 부각시키고 있으며, 각국 정부 및 거래소들의 사이버 보안 강화 필요성이 제기되고 있다.
About the Author
