북한이 암호화폐 산업에 침투한 방법

• 코인데스크는 조선민주주의인민공화국(DPRK)의 IT 근로자를 고용한 사실을 모른 채 고용한 암호화폐 회사를 12개 이상 파악했는데, 여기에는 Injective, ZeroLend, Fantom, Sushi, Yearn Finance, Cosmos Hub 등 유명 블록체인 프로젝트가 포함됩니다.
• 근로자들은 가짜 신분증을 사용했고, 면접을 성공적으로 통과했으며, 추천서 검토도 통과했고, 실제 근무 이력을 제시했습니다.
• 북한 노동자를 고용하는 것은 미국과 북한에 제재를 가하는 다른 나라에서 불법입니다. 또한 보안 위험도 있습니다. 코인데스크는 여러 회사가 북한 IT 노동자를 고용한 후 해킹을 당한 사례를 접했습니다.
• "모두가 이런 사람들을 걸러내기 위해 고군분투하고 있습니다." 2021년 코스모스 허브 블록체인 개발을 돕기 위해 실수로 북한 IT 근로자 2명을 고용했다고 말하는 유명 블록체인 개발자 자키 마니안의 말이다.

암호화폐 회사인 트루플레이션(Truflation)이 창립자인 슈테판 러스트가 자신도 모르게 첫 북한 직원을 고용했던 2023년 당시는 아직 초기 단계였습니다.

"우리는 항상 훌륭한 개발자를 찾고 있었습니다." 스위스에 있는 그의 집에서 Rust가 말했다. 갑자기 "한 개발자가 선을 넘었습니다."

"류헤이"는 텔레그램으로 이력서를 보냈고 일본에 기반을 두고 있다고 주장했습니다. 그가 고용된 직후, 이상한 불일치가 표면화되기 시작했습니다.

어느 시점에서 "그 사람과 통화를 했는데, 그는 지진을 당했다고 말했어요." 러스트가 회상했습니다. 다만 일본에는 최근 지진이 없었습니다. 그런데 직원이 전화를 놓치기 시작했고, 그가 나타났을 때 "그 사람이 아니었어요." 러스트가 말했습니다. "다른 사람이었습니다." 누구였든 일본어 악센트를 버린 것입니다.

Rust는 곧 "Ryuhei"와 다른 직원 4명(전체 팀의 3분의 1 이상)이 북한 사람이라는 사실을 알게 되었습니다. Rust는 자신도 모르게 북한이 해외 원격지 일자리를 확보하고 수입을 평양으로 다시 빼돌리려는 계획에 속아넘어갔습니다.

미국 당국은 최근 북한 정보기술(IT) 근로자들이 암호화폐 고용주를 포함한 기술 회사에 침투하여 그 수익을 이용해 이 외딴 국가의 핵무기 프로그램에 자금을 지원하고 있다는 경고를 강화했습니다. 2024년 유엔 보고서 에 따르면, 이 IT 근로자들은 김정은 정권을 위해 매년 최대 6억 달러를 벌어들인다.

노동자를 고용하고 급여를 지급하는 것은 - 실수로라도 - 유엔 제재를 위반하며 미국과 다른 여러 나라에서 불법입니다. 또한 북한 해커들이 은밀한 노동자를 통해 회사를 공격하는 것으로 알려져 있기 때문에 심각한 보안 위험을 초래합니다.

코인데스크 조사에 따르면 북한 취업 지원자들이 특히 암호화폐 회사를 얼마나 공격적으로, 자주 표적으로 삼았는지가 드러났습니다. 이들은 면접에서 성공적으로 통과하고, 추천서 검토를 통과하고, 심지어 오픈소스 소프트웨어 저장소인 GitHub에 코드 기여에 대한 인상적인 이력을 제시하기도 했습니다.

코인데스크는 공식 명칭이 조선민주주의인민공화국(DPRK)인 IT 근로자를 실수로 고용했다고 말한 12개 이상의 암호화폐 회사와 인터뷰를 가졌습니다.

창립자, 블록체인 연구자, 업계 전문가와의 인터뷰를 통해 북한 IT 근로자가 이전에 생각했던 것보다 암호화폐 산업에서 훨씬 더 널리 퍼져 있다는 사실이 드러났습니다. 이 기사를 위해 CoinDesk가 접촉한 거의 모든 채용 관리자는 북한 개발자로 의심되는 사람을 인터뷰했거나, 무심코 고용했거나, 그런 사람을 알고 있다고 인정했습니다.

"이력서나 일자리를 요청하거나 기여하고 싶어하는 사람들 중 북한 출신인 비율은 전체 암호화폐 산업에서 50%가 넘습니다." 2021년 코스모스 허브 블록체인 개발을 돕기 위해 실수로 북한 IT 근로자 두 명을 고용했다고 말하는 저명한 블록체인 개발자 자키 마니안의 말입니다. "모두가 이런 사람들을 걸러내기 위해 고군분투하고 있습니다."

코인데스크가 파악한 무의식적인 조선민주주의인민공화국 고용주 중에는 코스모스 허브, 인젝티브, 제로렌드, 팬텀, 스시, 얀 파이낸스와 같은 몇몇 잘 확립된 블록체인 프로젝트가 있었습니다. 마니안은 "이 모든 일은 배후에서 일어나고 있습니다."라고 말했습니다.

이번 조사는 이들 회사 중 하나가 실수로 북한 IT 근로자를 고용했다는 사실을 공개적으로 인정한 첫 번째 사례입니다.

많은 경우 북한 노동자들은 일반적인 직원과 마찬가지로 일을 했습니다. 그래서 고용주들은 어떤 의미에서 그들이 지불한 대가를 대부분 받았습니다. 하지만 코인데스크는 노동자들이 그 후에 북한 정부와 연결된 블록체인 주소로 임금을 흘렸다는 증거를 발견했습니다.

코인데스크의 조사는 또한 북한 IT 근로자를 고용한 암호화폐 프로젝트가 나중에 해킹의 희생자가 된 사례도 여러 건 밝혀냈습니다. 그 중 일부 사례에서 코인데스크는 강도 사건을 회사 급여 명단에 있는 의심되는 북한 IT 근로자와 직접 연결할 수 있었습니다. 2021년 해킹 사건으로 300만 달러를 잃은 유명한 분산형 금융 프로토콜인 스시의 경우가 그렇습니다.

미국 재무부 외국자산통제국(OFAC)과 법무부는 2022년에 북한이 미국 암호화폐 산업에 침투하려는 시도를 홍보하기 시작했습니다 . 코인데스크는 북한 IT 근로자들이 그보다 훨씬 이전, 적어도 2018년 초부터 가짜 신분으로 암호화폐 회사에서 일하기 시작했다는 증거를 발견했습니다.

"많은 사람들이 이게 갑자기 일어난 새로운 일이라는 잘못된 인상을 받고 있다고 생각합니다."라고 마니안은 말했습니다. "이 사람들과 함께 GitHub 계정과 다른 것들이 있는데, 2016년, 2017년, 2018년으로 거슬러 올라갑니다."(Microsoft가 소유한 GitHub은 많은 소프트웨어 조직이 코드를 호스팅하고 개발자가 협업할 수 있도록 하는 온라인 플랫폼입니다.)

코인데스크는 블록체인 결제 기록, 공개 GitHub 코드 기여, 미국 정부 관리의 이메일, 대상 회사와의 직접 인터뷰 등 다양한 방법을 사용하여 DPRK IT 근로자를 회사와 연결했습니다. 코인데스크가 조사한 가장 큰 북한 결제 네트워크 중 하나는 8월에 의심되는 DPRK 개발자 목록을 공개 한 블록체인 조사관 ZachXBT에 의해 발견되었습니다.

이전에는 고용주들이 원치 않는 홍보나 법적 반향에 대한 우려로 침묵을 지켰습니다. 이제 CoinDesk에서 발굴한 광범위한 지불 기록과 기타 증거에 직면하여 많은 고용주들이 나서서 처음으로 자신의 이야기를 공유하기로 결정했으며, 북한이 암호화폐 산업에 침투하려는 노력의 압도적인 성공과 규모를 폭로했습니다.

위조 문서

표면적으로는 일본인 직원인 류헤이를 고용한 후, Rust의 Truflation은 새로운 지원자들의 홍수를 받았다. 불과 몇 달 만에 Rust는 자신도 모르게 몬트리올, 밴쿠버, 휴스턴, 싱가포르에 기반을 두고 있다고 말한 DPRK 개발자 4명을 더 고용했다.

암호화폐 부문은 특히 북한 IT 근로자들의 방해에 취약합니다. 노동력은 특히 세계적이며, 암호화폐 회사는 다른 회사보다 완전히 원격(익명) 개발자를 고용하는 데 더 편안함을 느끼는 경향이 있습니다.

코인데스크는 텔레그램과 디스코드와 같은 메시징 플랫폼, Crypto Jobs List와 같은 암호화폐 전문 구인 게시판, Indeed와 같은 채용 사이트 등 다양한 출처를 통해 암호화폐 회사가 접수한 북한의 구인 공고를 검토했습니다.

"그들이 고용되는 데 가장 운이 좋은 곳은 Discord에서 고용할 의향이 있는 정말 신선하고 새로운 신생 팀입니다." 북한의 암호화폐 활동과 관련된 보안 연구를 자주 발표하는 암호화폐 지갑 앱 MetaMask의 제품 관리자인 Taylor Monahan의 말입니다. "그들은 백그라운드 검사를 거친 사람을 고용할 절차가 없습니다. 그들은 종종 암호화폐로 지불할 의향이 있습니다."

Rust는 Truflation의 모든 신입 직원에 대한 배경 조사를 직접 실시했다고 말했습니다. "그들은 우리에게 여권과 신분증을 보내고, GitHub 리포를 주고, 테스트를 거쳤고, 그런 다음 기본적으로 우리는 그들을 데려왔습니다."

숙련되지 않은 사람의 눈에는 위조 문서 대부분이 진짜 여권이나 비자와 구별할 수 없어 보이지만, 전문가들은 코인데스크에 전문적인 배경 조사 서비스라면 아마도 적발했을 것이라고 말했습니다.

신생기업이 전문적인 백그라운드 검사자를 고용할 가능성은 낮지만 "우리는 대기업에서도 북한 IT 근로자를 볼 수 있습니다. 실제 직원으로든 최소한 계약직으로든요."라고 모나한은 말했습니다.

눈에 띄지 않게 숨어 있음

코인데스크는 많은 경우 공개적으로 이용 가능한 블록체인 데이터를 사용하는 회사에서 북한의 IT 근로자를 발견했습니다.

2021년, 블록체인 개발자 마니안은 자신의 회사인 Iqlusion에서 도움이 필요했습니다. 그는 인기 있는 Cosmos Hub 블록체인을 업그레이드하는 프로젝트를 도울 수 있는 프리랜서 코더를 찾았습니다. 그는 두 명의 신입사원을 찾았고, 그들은 유능하게 일했습니다.

마니안은 프리랜서 "준 카이"와 "사라우트 사닛"을 직접 만난 적이 없습니다. 그들은 이전에 긴밀히 제휴된 블록체인 네트워크인 THORChain에서 자금을 지원받은 오픈소스 소프트웨어 프로젝트에서 함께 일했으며, 마니안에게 자신들이 싱가포르에 있다고 말했습니다.

"저는 1년 동안 거의 매일 그들과 이야기를 나누었습니다."라고 마니안은 말했습니다. "그들은 일을 했습니다. 그리고 저는 솔직히 말해서 매우 기뻤습니다."

프리랜서들이 작업을 마친 지 2년 후, 마니안은 Iqlusion에서 의심되는 북한 암호화폐 지갑 주소로 전송된 것으로 보이는 토큰 전송을 조사하는 FBI 요원으로부터 이메일을 받았습니다. 문제의 전송은 Iqlusion이 Kai와 Sanit에게 지불한 것으로 밝혀졌습니다.

FBI는 마니안에게 그가 계약한 개발자들이 북한의 요원이라는 사실을 확인해주지 않았지만, 코인데스크가 카이와 사닛의 블록체인 주소를 검토한 결과, 2021년과 2022년 내내 그들은 OFAC의 제재 목록에 있는 김상만 과 심현섭이라는 두 사람에게 수익을 흘렸다는 사실이 드러났습니다.

OFAC에 따르면 , 심은 IT 근로자 자금을 세탁하여 "DPRK의 대량살상무기와 탄도 미사일 프로그램에 자금을 지원하는" 북한 은행인 Kwangson Banking Corp의 대표입니다. Sarawut은 자신의 모든 수입을 Sim과 다른 Sim과 연결된 블록체인 지갑으로 흘린 것으로 보입니다.

한편 카이는 김씨에게 800만 달러에 가까운 돈을 직접 흘렸다 . 2023년 OFAC 자문 에 따르면 김씨는 북한이 운영하는 치닝정보기술협력회사의 대표로, "자사가 통제하는 회사와 그 대표를 통해 러시아와 라오스에서 활동하는 북한 IT 노동자 대표단을 고용한다."

이큐전이 카이에게 지급한 급여는 그가 킴에게 보낸 약 800만 달러 중 5만 달러에도 못 미쳤고 나머지 자금은 다른 암호화폐 회사에서 나왔습니다.

예를 들어, 코인데스크는 널리 사용되는 Fantom 블록체인을 개발하는 Fantom 재단에서 "Jun Kai"와 다른 북한 관련 개발자에게 지불한 사실을 발견했습니다.

"Fantom은 2021년에 북한과 관련된 외부 인력 2명을 확인했습니다." Fantom Foundation 대변인이 CoinDesk에 말했습니다. "하지만 문제의 개발자들은 결코 완료되지 않고 배포되지도 않은 외부 프로젝트를 진행했습니다."

Fantom Foundation에 따르면, "문제의 두 사람은 해고되었고, 악성 코드를 제공한 적도 없고 Fantom의 코드베이스에 접근할 수도 없었으며, Fantom 사용자는 영향을 받지 않았습니다." 대변인에 따르면, 북한 노동자 중 한 명이 Fantom의 서버를 공격하려 했지만 필요한 접근 권한이 없어 실패했습니다.

OpenSanctions 데이터베이스 에 따르면 김씨의 북한과 관련된 블록체인 주소는 2023년 5월까지 어떤 정부에서도 공개되지 않았습니다. 이는 Iqlusion과 Fantom이 지불을 한 지 2년이 넘은 후의 일입니다.

여유가 주어짐

미국과 유엔은 각각 2016년과 2017년에 북한의 IT 노동자 고용을 제재했습니다.

미국에서 북한 노동자에게 돈을 지불하는 것은 불법입니다. 이는 자신이 그렇게 한다는 것을 알고 있든 모르든 법적 개념입니다. 이를 "엄격 책임"이라고 합니다.

회사가 어디에 있는지는 꼭 중요한 것은 아닙니다. 북한에 대한 제재를 시행하는 국가에서 사업을 하는 모든 회사는 북한 노동자를 고용하는 데 있어 법적 위험을 감수해야 합니다.

하지만 미국과 다른 유엔 회원국들은 아직 북한 IT 근로자를 고용한 암호화폐 회사를 기소하지 않았습니다.

미국 재무부는 미국에 본사를 둔 Iqlusion에 대한 조사를 시작했지만, 마니안은 아무런 처벌 없이 조사가 종결되었다고 말했습니다.

미국 당국은 이들 회사에 대한 기소에 관대한 태도를 보였습니다. 어느 정도는 이들이 최소한 비정상적으로 정교하고 정교한 유형의 신원 사기의 희생자였거나, 최악의 경우 가장 굴욕적인 종류의 장기 사기의 희생자였다는 사실을 인정한 것입니다.

법적 위험은 차치하고도 북한 IT 노동자들에게 돈을 지불하는 것은 "기본적으로 정권에 의해 착취당하고 있는 사람들에게 돈을 지불하는 것이기 때문에 나쁘다"고 MetaMask의 모나한은 설명했다.

유엔 안전보장이사회의 615페이지 보고서 에 따르면, 조선민주주의인민공화국 IT 노동자들은 급여의 일부만을 유지합니다. 보고서는 "저소득자는 10%를 유지하는 반면, 고소득자는 30%를 유지할 수 있습니다."라고 명시합니다.

이러한 임금이 북한의 평균에 비해 여전히 높을 수 있지만, "그들이 어디에 사는지는 상관없습니다." 모나한은 말했다. "내가 누군가에게 돈을 지불하고 그들이 문자 그대로 급여 전체를 상사에게 보내도록 강요받는다면, 나는 매우 불편할 것입니다. 그들의 상사가 북한 정권이라면, 나는 더 불편할 것입니다."

코인데스크는 보도 과정에서 북한의 IT 종사자로 의심되는 여러 사람에게 연락을 취했으나 아무런 답변을 받지 못했습니다.

앞으로 나아갑니다

코인데스크는 OFAC 제재 기관에 대한 블록체인 지불 기록을 분석하여 북한 IT 근로자를 고용한 것으로 추정되는 20개 이상의 회사를 파악했습니다. 12개 회사가 기록을 제시했고, 코인데스크에 이전에 급여 명단에서 의심되는 북한 IT 근로자를 발견했다는 사실을 확인했습니다.

일부는 법적 반발을 두려워하여 더 이상 언급하기를 거부했지만, 다른 사람들은 다른 사람들이 자신의 경험으로부터 교훈을 얻을 수 있기를 바라는 마음으로 자신의 이야기를 공유하는 데 동의했습니다.

많은 경우, 북한 직원은 채용된 뒤에야 식별하기가 더 쉬웠습니다.

분산형 금융을 중심으로 한 프로젝트인 Injective의 CEO인 에릭 첸은 2020년에 프리랜서 개발자와 계약을 맺었지만 성과가 좋지 않아 바로 해고했다고 말했습니다.

"그는 오래가지 못했습니다." 첸이 말했다. "그는 제대로 작동하지 않는 형편없는 코드를 작성했습니다." 첸은 작년에 미국의 "정부 기관"이 Injective에 연락을 취한 후에야 그 직원이 북한과 연결되어 있다는 사실을 알게 되었다.

몇몇 회사는 코인데스크에 북한과의 연관성을 알기도 전에 열악한 업무 수행 등으로 직원을 해고했다고 말했습니다.

'몇 달 동안 우유 급여'

그러나 북한의 IT 노동자들은 일반적인 개발자들과 마찬가지로 적성이 다양합니다.

한편, "출석해서 면접 과정을 통과하고 급여를 짜서 몇 달치 급여를 챙기는" 직원들이 있을 것입니다. "또 다른 측면이 있는데, 면접을 볼 때 실제 기술적 능력이 정말 뛰어난 사람들을 만날 수 있다는 것입니다."

Rust는 Truflation에 "정말 훌륭한 개발자 한 명"이 있었는데, 그는 밴쿠버 출신이라고 주장했지만 사실은 북한 출신이었다고 회상했습니다. Rust는 "그는 정말 어린아이였어요."라고 말했습니다. "마치 대학을 갓 졸업한 것 같았어요. 귀 뒤가 약간 녹색이었지만, 매우 열정적이었고, 기회를 얻어 일하게 되어 정말 기뻤어요."

또 다른 사례로, 분산형 금융 스타트업인 클러스터(Cluster)는 ZachXBT가 북한과 연관이 있다는 증거를 제시한 후 8월에 개발자 2명을 해고했습니다.

"이 사람들이 얼마나 많은 것을 알고 있는지 정말 미칠 지경입니다." Cluster의 가명 창립자 z3n이 CoinDesk에 말했습니다. 회고해보면, "명확한 위험 신호"가 몇 가지 있었습니다. 예를 들어, "2주마다 지불 주소를 변경했고, 한 달 정도마다 Discord 이름이나 Telegram 이름을 변경했습니다."

웹캠 꺼짐

코인데스크와의 대화에서 많은 고용주들은 직원들이 북한 주민일 가능성이 높다는 것을 알게 되자 이상 징후를 더 잘 알아챘다고 말했습니다.

때로는 힌트가 미묘할 때도 있었습니다. 예를 들어, 직원들의 근무 시간이 실제 근무 장소와 일치하지 않는 경우가 있었습니다.

Truflation과 같은 다른 고용주들은 한 직원이 한 개인으로 위장한 여러 사람이라는 힌트를 알아챘습니다. 직원이 웹캠을 꺼서 이를 숨기려고 할 것입니다. (그들은 거의 항상 남자입니다.)

한 회사에서는 오전에 회의에 나타나지만 나중에 논의된 내용은 모두 잊어버리는 직원을 고용했습니다. 고용주는 그녀가 여러 사람과 이야기를 나누고 있다는 사실을 깨달았을 때 이러한 특이한 행동이 더 합리적이라고 생각했습니다.

러스트가 자신의 "일본인" 직원인 류헤이에 대한 우려를 범죄적 지불 네트워크를 추적한 경험이 있는 투자자에게 전했을 때, 그 투자자는 곧 Truflation에 급여를 받고 있는 다른 4명의 북한 IT 근로자를 알아냈습니다.

Rust는 "우리는 즉시 관계를 끊었습니다."라고 말하며, 그의 팀이 코드에 대한 보안 감사를 실시하고, 백그라운드 검사 프로세스를 강화하고, 특정 정책을 변경했다고 덧붙였습니다. 새로운 정책 중 하나는 원격 근무자에게 카메라를 켜도록 요구하는 것이었습니다.

300만 달러 해킹

코인데스크가 상담한 고용주 중 다수는 북한의 IT 근로자가 북한 해킹 부서와 독립적으로 운영된다고 잘못 알고 있었습니다. 하지만 블록체인 데이터와 전문가와의 대화에 따르면 북한 정권의 해킹 활동과 IT 근로자가 자주 연관되어 있음이 드러났습니다.

2021년 9월, Sushi가 암호화폐 토큰을 출시하기 위해 구축한 플랫폼인 MISO는 널리 알려진 강도 사건 으로 300만 달러를 잃었습니다. CoinDesk는 이 공격이 Sushi가 북한과 연결된 블록체인 결제 기록을 가진 두 명의 개발자를 고용한 것과 관련이 있다는 증거를 발견했습니다.

해킹 당시, Sushi는 탈중앙화 금융(DeFi)의 신흥 세계에서 가장 화제가 된 플랫폼 중 하나였습니다. 50억 달러 이상이 SushiSwap에 입금되었는데, 이는 주로 중개자 없이 사람들이 암호화폐를 교환할 수 있는 "탈중앙화 거래소" 역할을 합니다.

당시 Sushi의 최고 기술 책임자였던 Joseph Delong은 MISO 강도 사건을 두 명의 프리랜서 개발자가 추적하여 이를 구축하는 데 도움을 주었다고 밝혔습니다. Anthony Keller와 Sava Grujic이라는 이름을 사용하는 개인입니다. Delong은 개발자들이(이제 한 사람 또는 조직이라고 의심) MISO 플랫폼에 악성 코드를 주입하여 자금을 그들이 제어하는 지갑으로 리디렉션했다고 말했습니다.

켈러와 그루이치가 수시 프로토콜을 관리하는 분산형 자율 조직인 수시 DAO와 계약을 맺었을 때, 그들이 제공한 자격증은 초보 개발자에게는 충분히 전형적이고, 심지어 인상적이었습니다.

켈러는 공개적으로는 "eratos1122"라는 가명으로 활동했지만, MISO에서 일하기 위해 지원했을 때는 자신의 실명인 "앤서니 켈러"를 사용했습니다. 델롱이 코인데스크에 공유한 이력서에서 켈러는 조지아주 게인즈빌에 거주하며 피닉스 대학교에서 컴퓨터 공학 학사 학위를 받았다고 주장했습니다. (대학 측은 같은 이름을 가진 졸업생이 있는지에 대한 확인 요청에 응답하지 않았습니다.)

켈러의 이력서에는 이전 작업에 대한 진정한 언급이 포함되어 있었습니다. 가장 인상적인 것 중 하나는 Yearn Finance로, 사용자에게 다양한 사전 제작된 투자 전략에 걸쳐 이자를 얻을 수 있는 방법을 제공하는 매우 인기 있는 암호화폐 투자 프로토콜입니다. Yearn의 핵심 개발자인 Banteg는 Keller가 Yearn이 팀의 협업과 지불을 용이하게 하기 위해 만든 앱인 Coordinape에서 일했다고 확인했습니다. (Banteg는 Keller의 작업이 Coordinape로 제한되었으며 Yearn의 핵심 코드베이스에 액세스할 수 없었다고 말합니다.)

Keller는 Grujic을 MISO에 추천했고, 둘은 자신을 "친구"라고 소개했다고 Delong은 말했습니다. Keller와 마찬가지로 Grujic은 온라인 가명인 "AristoK3"가 아닌 실제 이름으로 이력서를 제출했습니다. 그는 세르비아 출신이며 베오그라드 대학교에서 컴퓨터 과학 학사 학위를 받았다고 주장했습니다. 그의 GitHub 계정은 활성화되어 있었고, 그의 이력서에는 여러 소규모 암호화폐 프로젝트와 게임 스타트업에서의 경험이 나와 있었습니다.

강도 사건이 일어나기 전에 켈러와 그루이치와 긴밀히 일했던 스시의 전 핵심 개발자 레이첼 추는 해킹이 일어나기 전부터 이 둘을 "의심"했다고 말했습니다.

그루이치와 켈러는 지구 반대편에 살고 있다고 주장했지만, "같은 악센트"와 "같은 문자 메시지 방식"을 가졌다고 추는 말했다. "우리가 이야기할 때마다 그들은 공장에 있는 것처럼 배경 소음을 냈다"고 그녀는 덧붙였다. 추는 켈러의 얼굴은 봤지만 그루이치의 얼굴은 본 적이 없다고 회상했다. 추에 따르면, 켈러의 카메라는 "확대"되어서 그 뒤에 무엇이 있는지 알아볼 수 없었다고 한다.

Keller와 Grujic은 결국 거의 같은 시기에 MISO에 기여하는 것을 중단했습니다. "우리는 Anthony와 Sava가 같은 사람이라고 생각합니다." Delong이 말했습니다. "그래서 우리는 그들에게 돈을 지불하는 것을 중단했습니다." 이는 COVID-19 팬데믹의 절정이었고, 원격 암호화폐 개발자가 급여에서 추가 돈을 뽑아내기 위해 여러 사람으로 위장하는 것은 전례가 없었습니다.

켈러와 그루이치가 2021년 여름에 해고된 후, 스시 팀은 그들이 MISO 코드베이스에 접근할 수 있도록 하는 것을 거부했습니다.

9월 2일, 그루이치는 "Aristok3"이라는 스크린 네임으로 MISO 플랫폼에 악성 코드를 유포해, 코인데스크에 제공된 스크린샷에 따르면 300만 달러를 새로운 암호화폐 지갑으로 이동시켰습니다.

CoinDesk의 블록체인 결제 기록 분석은 Keller, Grujic, 북한 간의 잠재적 연관성을 시사합니다. 2021년 3월, Keller는 현재 삭제된 트윗에 블록체인 주소를 게시했습니다 . CoinDesk는 이 주소, Grujic의 해커 주소, Sushi가 Keller에 대해 기록한 주소 간의 여러 결제를 발견했습니다 . Delong에 따르면 Sushi의 내부 조사는 궁극적으로 해당 주소가 Keller의 소유라는 결론을 내렸습니다.

코인데스크는 문제의 주소에서 대부분의 자금이 "준 카이"(OFAC 제재 대상인 김상만에게 자금을 보낸 Iqlusion 개발자)와 북한의 대리인으로 보이는 또 다른 지갑(이 지갑 역시 김상만에게 돈을 지불했기 때문)으로 보내졌다는 것을 발견했습니다.

켈러와 그루이치가 북한 사람이라는 이론에 더욱 신빙성을 더하기 위해, 수시의 내부 조사에서 두 사람이 자주 러시아의 IP 주소를 사용하여 작업한 것으로 나타났는데, OFAC에 따르면 북한의 DPRK IT 근로자가 가끔 근무하는 곳이 러시아입니다. (켈러의 이력서에 있는 미국 전화번호는 사용할 수 없으며, 그의 "eratos1122" Github 및 Twitter 계정은 삭제되었습니다.)

또한, 코인데스크는 스시가 켈러와 그루이치와 동시에 또 다른 의심되는 북한 IT 계약자를 고용했다는 증거를 발견했습니다. ZachXBT가 "개리 리"로 확인한 개발자는 LightFury라는 가명으로 코드를 작성하고 자신의 수익을 "준 카이"와 김과 관련된 다른 프록시 주소로 흘렸습니다.

수시가 켈러의 가명인 "eratos1122"에 대한 공격을 공개적으로 비난하고 FBI를 개입시키겠다고 위협한 후, 그루이치는 훔친 자금을 반환했습니다 . 북한 IT 근로자가 가짜 신원을 보호하는 데 신경을 쓸 것이라는 것은 직관에 어긋나는 것처럼 보일 수 있지만, 북한 IT 근로자는 특정 이름을 재사용하고 시간이 지남에 따라 많은 프로젝트에 기여함으로써 명성을 쌓는 듯합니다. 아마도 미래의 고용주에게 신뢰를 얻는 방법일 것입니다.

누군가는 장기적으로 Anthony Keller라는 가명을 보호하는 것이 더 수익성이 높다고 결정했을 수도 있습니다. 2023년, Sushi 사건이 발생한 지 2년 후, "Anthony Keller"라는 사람이 Stefan Rust의 회사인 Truflation에 지원했습니다.

"앤서니 켈러"와 "사바 그루이치"에게 의견을 묻기 위한 연락 시도는 실패했습니다.

조선민주주의인민공화국식 강도

유엔에 따르면 북한은 지난 7년 동안 해킹을 통해 30억 달러 이상의 암호화폐를 훔쳤습니다. 블록체인 분석 회사인 Chainalysis가 2023년 상반기에 추적한 해킹 중 북한과 관련이 있다고 생각되는 해킹 중 "대략 절반이 IT 근로자 관련 도난과 관련이 있었습니다."라고 회사 대변인인 Madeleine Kennedy가 말했습니다.

북한의 사이버 공격은 후드티를 입은 프로그래머가 정교한 컴퓨터 코드와 흑백 컴퓨터 단말기를 사용하여 메인프레임에 침입하는 할리우드 버전의 해킹과는 크게 다르지 않습니다.

DPRK 스타일의 공격은 분명히 저기술입니다. 일반적으로 공격자는 시스템의 키를 가진 피해자의 신뢰를 얻은 다음 악성 이메일 링크와 같은 간단한 것을 통해 키를 직접 추출하는 일종의 사회 공학을 포함합니다.

"지금까지 우리는 조선민주주의인민공화국이 진짜로 악용하는 것을 본 적이 없습니다." 모나한이 말했다. "항상 그렇죠. 사회 공학을 하고, 기기를 손상시키고, 개인 키를 손상시키는 거죠."

IT 종사자들은 잠재적 타깃을 방해하는 데 사용될 수 있는 개인 정보를 추출하거나 디지털 현금이 가득한 소프트웨어 시스템에 직접 접근하는 등 북한의 강도 행위에 기여할 수 있는 좋은 위치에 있습니다.

일련의 우연

9월 25일, 이 기사가 출판되기 직전, CoinDesk는 Truflation의 Rust와 화상 통화를 하기로 예정되어 있었습니다. 계획은 그가 이전에 공유했던 몇 가지 세부 사항을 사실 확인하는 것이었습니다.

당황한 Rust가 15분 늦게 통화에 참여했습니다. 그는 방금 해킹을 당했습니다.

코인데스크는 북한 IT 근로자를 고용하도록 속아넘어간 것으로 보이는 20여 개 이상의 프로젝트에 연락했습니다. 보도 마지막 2주 동안만 해도 그 중 두 개의 프로젝트가 해킹당했습니다. Truflation과 Delta Prime 이라는 암호화폐 대출 앱입니다.

두 해킹 사건이 북한 IT 근로자의 무심코 고용된 사건과 직접적으로 관련이 있는지 판단하기에는 너무 이릅니다.

델타 프라임은 9월 16일에 처음으로 침해를 당했습니다 . 코인데스크는 이전에 델타 프라임과 가명 블록체인 명탐정 ZachXBT가 공개한 북한과 관련된 개발자 중 한 명인 나오키 무라노 를 연결하는 지불 및 코드 기여를 밝혀냈습니다.

이 프로젝트는 공식적으로 "침해된 개인 키"로 인해 700만 달러 이상을 잃었습니다. Delta Prime은 수많은 논평 요청에 응답하지 않았습니다.

Truflation 해킹은 2주도 채 지나지 않아 발생했습니다. Rust는 CoinDesk와의 통화 약 2시간 전에 자신의 암호화폐 지갑에서 자금이 흘러나오는 것을 알아챘습니다. 그는 방금 싱가포르 여행을 마치고 집에 돌아와서 자신이 잘못한 것이 무엇인지 이해하려고 애쓰고 있었습니다. 그는 "어떻게 된 일인지 전혀 모르겠어요."라고 말했습니다. "호텔 벽의 금고에 노트북을 모두 잠그고 있었어요. 휴대전화도 항상 가지고 다녔어요."

Rust가 말하는 동안 수백만 달러가 그의 개인 블록체인 지갑에서 빠져나갔습니다. "정말 짜증나. 우리 아이들의 학교이고, 연금 수수료야."

Truflation과 Rust는 결국 약 500만 달러를 잃었습니다 . 공식적인 원인은 개인 키 도난이었습니다.