미국 정부가 북한의 위성 발사를 그냥 지켜보고 있지 않는다. 다시 한 번 위성을 발사하는 걸 견제하기 위해 북한의 주요 돈 줄을 건드렸다. 그것은 사이버 공간에 있었다.

[보안뉴스 문정후 기자] 미국 정부는 북한의 사이버 해킹 단체를 견제하기 위한 노력을 계속해서 이어가는 가운데 최근 또 다른 성과를 올렸다. 북한 해커들이 주력으로 활용하는 가상화폐 믹서를 파악하고 무력화시킨 것이다. 북한의 해커들은 이 믹서 서비스를 활용해 자신들이 범죄 활동을 통해 수집한 돈을 현금화 한 것으로 알려져 있다. 그리고 이 돈으로 각종 무기를 개발하고 최근에는 정찰 위성을 띄우는 데까지 이르렀다. 미국의 이번 움직임은 북한 위성 발사에 대한 대응인 것으로 분석된다.

​

[이미지 = gettyimagesbank]

문제의 믹서 서비스는 신바드(Sinbad)라고 하며, 이를 적발해 제재한다고 발표한 건 미국 재무부다. 신바드가 북한의 라자루스 그룹(Lazarus Group)의 악성 행위를 지원했다고 재무부는 공식적으로 발표했다. 재제 대상이 된다는 건 미국의 자산과 관련이 있거나 미국 영토 내 누군가가 관리하는 모든 신바드의 재산은 재무부에 신고되어야 하며 이동할 수 없게 된다는 뜻이다. 미국 내 신바드의 모든 것은 앞으로 어디로도 가지 못하며 거래도 되지 못한다. 또한 신바드와의 거래를 시도하는 경우 범죄자가 된다.

암호화폐 믹싱은 여러 종류의 암호화폐를 섞어주는 서비스로, 전자 결재 이력의 추적을 매우 어렵게 만든다. 사이버 범죄자들 사이에서 매우 인기가 높은 것은, 믹서 서비스를 이용할 때 수사관들을 따돌리기 용이하기 때문이다. 라자루스의 경우 여러 곳에서부터 불법 자금을 암호화폐 형태로 수집한 뒤 신바드 믹싱 서비스에 집어넣어 무사히 돈을 찾은 것으로 알려져 있다. 이들은 최근에만 호라이즌브리지(Horizon Bridge), 액시인피니티(Axie Infinity) 등에서 적잖은 금액을 훔쳤다.

암호화폐 믹싱 서비스를 겨냥하다

신바드를 악용하는 건 라자루스만이 아니다. 여러 사이버 범죄 그룹들도 라자루스와 비슷한 목적을 달성하기 위해 신바드를 이용한다. 신바드만 없었다면 이들은 마약을 불법 거래해서, 아동 성적 학대 영상을 공유해서, 혹은 각종 멀웨어를 거래해서 번 돈을 무사히 가져갈 수 없었을 것이다. 이는 모든 암호화폐 믹싱 서비스에도 해당하는 말이고, 그래서 세계 곳곳의 정부 기관과 사법 기관들은 믹서들에 많은 수사력을 집중하는 중이다.

지난 3월 미국 사법부가 이끄는 국제 공조 활동을 통해 유명한 암호화폐 믹싱 서비스인 칩믹서(ChipMixer)가 폐쇄됐다. 그리고 5월에는 블렌더(Blender)라는 믹서와 11월 초 토네이도캐시(Tornado Cash)라는 믹서가 성공적으로 무력화 됐다. 블렌더와 토네이도캐시의 경우 라자루스가 즐겨 사용하는 믹서로 알려져 있었다.

“디지털 자산과 관련된 기술과 생태계에서 일어나는 여러 가지 혁신들 자체에 대해서 거부감이 있는 것이 아니고, 오히려 그런 발전들을 환영하는 입장이긴 하지만 그렇다고 해서 신기술의 악용 사례를 눈 감고 넘어가지는 않을 것입니다.” 재무부 차관인 월리 아데예모(Wally Adeyemo)의 발표 내용이다. “라자루스 그룹과 같은 범죄 집단이 범죄 행위로 훔친 자산들을 세탁할 수 있게 해 주는 믹서 서비스들은 앞으로 계속해서 견제를 당할 것입니다.”

라자루스의 단골

한편 라자루스는 10년 넘게 북한 정권을 위해 활동해 온 해킹 단체로, 미국 정부는 이 조직이 다년 간 여러 차례 암호화폐 도난 사건을 일으켜 20억 달러가 넘는 돈을 훔쳐간 것으로 파악하고 있다. 신바드는 비트코인 블록체인을 기반으로 활동하는 서비스 업체로, 라자루스는 이곳의 단골이다. 블렌더(Blender)라는 믹싱 서비스의 후신인 것으로 알려져 있으며, 라자루스 외에도 여러 사이버 범죄 단체들이 이곳을 이용해 자신들을 겨냥한 추적을 따돌린다. 자금이 어디서 왔는지, 도착지가 어디인지, 양 거래자가 어디인지를 알 수 없게 만드는 게 암호화폐 믹싱의 목적이다.

보안 업체들은 물론 정부 기관들도 믹서들을 꾸준히 모니터링하고 있지만 이들은 계속해서 생겨나고 있으며 전혀 위축되지 않는다. 이는 라자루스도 마찬가지다. 이제는 이들의 행적과 공격 동기가 알려질대로 알려져 있어서 그런지 자신들의 정체를 숨기려 하는 노력도 잘 하지 않는 게 현재 상황이다. 최근에는 한 우주항공 분야 업체에 고도화 된 백도어를 심으려 메타를 가장하기도 했었다. 스카우터나 헤드헌터를 가장하여 엔지니어를 속이는 전략은 이들이 꾸준하게 사용하는 전략이기도 하다.

그렇다고 라자루스를 견제하려는 국제적인 움직임이 아무런 소용이 없는 건 아니다. 최근 라자루스는 다른 북한 APT 단체들과 협조하여 자신들에 대한 추적과 분석 행위를 더 어렵게 만든 바 있다. 스스로의 흔적을 보다 강력하고 교묘하게 감추기 위해 여러 도움을 받았다는 것으로, 라자루스도 자신들에게 쏠리는 관심을 의식했다는 뜻이 된다. 이 강화 작업 덕분에 라자루스의 공격을 막는 것은 보다 까다로워졌다.

3줄 요약

1. 북한이 위성 발사하자 미국이 라자루스를 견제.

2. 라자루스는 북한의 자금줄이기 때문.

3. 라자루스를 견제하기 위해 미국이 겨냥한 건 암호화폐 믹서.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=124385&page=1&mkind=1&kind=)]​