암호화폐 해킹은 지속적인 위협으로 남아있으며, 지난 10년 동안 4년 동안 10억 달러 이상의 암호화폐가 도난당했습니다(2018년, 2021년, 2022년, 2023년). 2024년은 이 우려스러운 이정표를 달성한 5번째 해입니다. 이는 암호화폐 채택과 가격이 상승함에 따라 도난당할 수 있는 금액도 증가했음을 보여줍니다.
2024년에는 도난당한 자금이 전년 대비 약 21.07% 증가한 22억 달러로 늘었으며, 해킹 사건 수는 2023년 282건에서 2024년 303건으로 증가했습니다.
흥미롭게도 암호화폐 해킹의 강도는 1년 중반에 약간 변화했습니다. 중간 연도 범죄 업데이트에서 우리는 2024년 1월부터 7월까지 도난당한 누적 가치가 이미 15.8억 달러에 달했으며, 이는 2023년 같은 기간 도난당한 금액보다 약 84.4% 높은 수준이라고 언급했습니다. 아래 차트에서 볼 수 있듯이, 7월 말까지 생태계는 2021년과 2022년의 30억 달러 이상 수준의 해를 능가할 수 있는 궤도에 있었습니다. 그러나 2024년의 상승 추세는 7월 이후 크게 둔화되어 상대적으로 안정적인 수준을 유지했습니다. 나중에 이러한 변화의 잠재적인 지정학적 이유를 살펴볼 것입니다.
피해 플랫폼 유형별 도난 금액 측면에서 2024년에도 흥미로운 패턴이 나타났습니다. 2021년부터 2023년 사이 대부분의 분기에 탈중앙화 금융(DeFi) 플랫폼이 암호화폐 해킹의 주요 대상이었습니다. DeFi 플랫폼이 더 취약했을 수 있는데, 이는 개발자들이 보안 조치 구현보다는 빠른 성장과 제품 출시에 우선순위를 두기 때문입니다.
DeFi가 2024년 1분기에도 여전히 도난 자산의 가장 큰 비중을 차지했지만, 중앙화된 서비스가 2분기와 3분기에 가장 많이 공격당했습니다. 주목할 만한 중앙화 서비스 해킹 사례로는 DMM 비트코인(2024년 5월, 3.05억 달러) 및 WazirX(2024년 7월, 2.349억 달러)가 있습니다.
DeFi에서 중앙화 서비스로의 이 같은 초점 변화는 일반적으로 해킹에 악용되는 개인 키 보안의 중요성이 증가했음을 보여줍니다. 2024년에는 도난당한 암호화폐의 43.8%가 개인 키 유출로 인한 것이었습니다. 중앙화 서비스의 경우 개인 키 보안이 매우 중요한데, 이는 개인 키가 사용자 자산에 대한 접근을 제어하기 때문입니다. 중앙화 거래소가 상당한 사용자 자금을 관리하고 있기 때문에, 개인 키 유출의 영향은 파괴적일 수 있습니다. 30.5억 달러 규모의 DMM 비트코인 해킹 사례는 개인 키 관리 부실 또는 적절한 보안 부족으로 인해 발생했을 수 있는 가장 큰 암호화폐 해킹 사건 중 하나입니다.
악의적인 행위자들은 개인 키를 탈취한 후 거래 내역을 모호하게 하고 추적을 복잡하게 만들기 위해 탈중앙화 거래소(DEX), 채굴 서비스 또는 믹싱 서비스를 통해 도난 자금을 세탁합니다. 2024년에는 개인 키 해커의 세탁 활동이 다른 공격 벡터를 이용한 해커와 의미 있게 다르다는 것을 알 수 있습니다. 예를 들어 개인 키를 탈취한 후에는 브리지와 믹싱 서비스를 주로 활용했지만, 다른 공격 벡터의 경우 DEX가 더 인기 있었습니다.
2024년 암호화폐 해킹 동향, DPRK의 활동, 그리고 Chainalysis가 최근 인수한 Hexagate의 기계 학습 모델을 사용하여 의심스러운 해킹 행동을 사전에 탐지하는 기능에 대해 자세히 알아보세요.
2024년 북한 해커들이 암호화폐 플랫폼에서 역대 최대 금액을 훼손했습니다
북한 해커들은 정교하고 끈질긴 수법으로 악명이 높습니다. 종종 고급 악성코드, 사회 공학, 암호화폐 절도를 동원해 국가 후원 작전을 자금 조달하고 국제 제재를 회피합니다. 미국과 국제 관리들은 평양이 대량 살상 무기와 탄도 미사일 프로그램을 자금 조달하기 위해 도난당한 암호화폐를 사용한다고 평가했습니다. 2023년 북한 계열 해커들은 20건의 사건에서 약 6.605억 달러를 훼손했고, 2024년에는 47건의 사건에서 13.4억 달러를 훼손했습니다. 이는 전년 대비 102.88% 증가한 수치이며, 2024년 총 도난액의 61%, 총 사건의 20%를 차지합니다.
작년 보고서에서는 DPRK가 20건의 해킹을 통해 10억 달러를 훼손했다고 발표했습니다. 추가 조사 결과, 우리가 이전에 DPRK 소행으로 판단했던 일부 대규모 해킹 사건이 더 이상 관련이 없는 것으로 확인되어, 금액이 6.605억 달러로 감소했습니다. 그러나 사건 수는 변함없이 20건인데, 이는 다른 소규모 해킹 사건을 DPRK 소행으로 새로 확인했기 때문입니다. 우리는 온체인 및 오프체인 증거를 새로 획득함에 따라 DPRK 연계 해킹 사건에 대한 평가를 지속적으로 재검토하고자 합니다.
불행히도 DPRK의 암호화폐 공격이 더 빈번해지고 있는 것 같습니다. 아래 차트에서 우리는 공격 규모에 따른 DPRK 성공 공격 간 평균 시간을 분석했는데, 모든 규모의 공격에서 전년 대비 감소 추세를 보였습니다. 특히 5천만~1억 달러 규모와 1억 달러 이상 규모의 공격이 2023년에 비해 훨씬 더 빈번하게 발생했는데, 이는 DPRK가 대규모 공격을 더 잘하고 빨리 수행할 수 있게 되었음을 시사합니다. 이는 지난 2년 동안 주로 5천만 달러 미만의 수익을 올리는 공격을 했던 것과 대조됩니다.
지난 3년간 우리가 측정한 모든 다른 해킹과 비교해 볼 때, DPRK가 대규모 공격의 대부분을 지속적으로 주도해 왔다는 것이 명확합니다. 흥미롭게도 DPRK의 고수익 공격 주도권은 2024년에도 계속되었지만, 1만 달러 수준의 저수익 공격도 증가하는 추세입니다.
이러한 일부 사건은 북한 IT 근로자와 관련된 것으로 보입니다. 이들은 암호화폐 및 Web3 기업에 점점 더 침투하여 네트워크, 운영 및 무결성을 훼손하고 있습니다. 이 근로자들은 정교한 전술, 기법 및 절차(TTPs)를 사용하여 가짜 신원, 제3자 채용 중개인, 원격 근무 기회 조작 등을 통해 접근권을 얻습니다. 최근 사례에서 미 법무부(DOJ)는 미국 기업에 원격 IT 근로자로 고용되어 8,800만 달러 이상을 훼손한 14명의 DPRK 국적자를 기소했습니다.
이러한 위험을 완화하기 위해 기업은 철저한 채용 실사(배경 조사 및 신원 확인 포함)와 함께 핵심 자산을 보호하
사례 연구: DPRK의 DMM 비트코인 해킹 사건
2024년 북한 관련 해킹 사례 중 주목할 만한 것은 일본 암호화폐 거래소 DMM 비트코인에 대한 공격으로, 이로 인해 약 4,502.9 비트코인(당시 3억 5백만 달러 가치)이 손실되었습니다. 공격자들은 DMM이 사용하는 인프라의 취약점을 노려 무단 인출을 시도했습니다. 이에 DMM은 고객 예금을 전액 보상하기 위해 계열사의 지원을 받아 동등한 자금을 마련했습니다.
우리는 초기 공격 이후 온체인 자금 흐름을 분석할 수 있었으며, 이를 Chainalysis Reactor 그래프 두 개로 정리했습니다. 첫 번째 단계에서 공격자는 DMM 비트코인에서 수백만 달러 상당의 암호화폐를 여러 중간 주소로 옮긴 후 마침내 비트코인 CoinJoin 믹싱 서비스에 도달했습니다.
비트코인 CoinJoin 믹싱 서비스를 통해 훼손된 자금을 성공적으로 혼합한 공격자들은 자금의 일부를 여러 브릿징 서비스를 거쳐 Huione Guarantee라는 온라인 마켓플레이스로 보냈습니다. Huione Guarantee는 캄보디아 기업 Huione Group의 일부로, 사이버 범죄 촉진에 관여한 것으로 알려졌습니다.
이번 해킹 사건의 규모와 운영상 어려움으로 인해 DMM은 2024년 12월 거래소를 폐쇄하기로 결정했습니다. DMM 비트코인은 자산과 고객 계정을 일본 금융 그룹 SBI의 자회사 SBI VC Trade로 이전했으며, 이 과정은 2025년 3월까지 완료될 예정입니다. 다행히도 다음 섹션에서 살펴볼 것처럼 새로운 도구와 예측 기술이 이러한 파괴적인 해킹을 사전에 방지할 수 있는 길을 열고 있습니다.
예측 모델을 활용한 해킹 방지
첨단 예측 기술은 잠재적 위험과 위협을 실시간으로 감지할 수 있게 함으로써 사이버 보안 분야를 혁신하고 있습니다. Chainalysis는 최근 Hexagate를 인수했는데, Hexagate는 Web3 보안 솔루션 분야의 선도 기업으로 사이버 공격, 해킹, 거버넌스 및 재무 위험 등을 감지하고 완화합니다. Hexagate의 고객들은 실시간 알림과 자동 대응 기능을 바탕으로 10억 달러 이상의 고객 자금을 보호할 수 있었습니다.
Hexagate는 독자적인 탐지 기술과 머신러닝 모델을 활용하여 블록체인 네트워크 전반에서 비정상적인 거래와 악성 활동을 실시간으로 예측 및 탐지합니다. 스마트 계약과 거래를 지속적으로 스캔하여 의심스러운 패턴과 잠재적 위험 및 위협을 식별함으로써 재무적 손실을 사전에 방지할 수 있습니다. 탈중앙화 유동성 공급자 UwU Lend 사례를 살펴보겠습니다.
2024년 6월 10일, 공격자는 UwU Lend의 가격 오라클 시스템을 조작하여 약 2천만 달러를 탈취했습니다. 공격자는 플래시론 공격을 통해 Ethena Staked USDe(sUSDe)의 가격을 여러 오라클에서 조작하여 잘못된 평가가 이루어지게 했고, 이를 통해 7분 만에 수백만 달러를 차입할 수 있었습니다. Hexagate는 이 공격 계약과 유사한 배포를 공격 발생 약 2일 전에 정확히 탐지했습니다.
공격 계약이 실시간으로 정확히 탐지되었음에도 불구하고 그 설계로 인해 악용된 계약과의 연관성이 즉시 명확하지 않았습니다. Hexagate의 보안 오라클과 같은 추가 도구를 활용하면 이러한 조기 탐지를 바탕으로 위협을 더욱 효과적으로 완화할 수 있었을 것입니다. 특히 첫 번째 공격으로 8.2백만 달러의 손실이 발생한 지 불과 몇 분 만에 후속 공격이 이루어졌다는 점은 중요한 신호였습니다.
이와 같은 주요 온체인 공격 발생 전의 경고는 업계 참여자들의 보안을 혁신하고 비용 손실이 발생하기 전에 해킹을 예방할 수 있는 잠재력을 지니고 있습니다.
아래 Chainalysis Reactor 그래프에서 볼 수 있듯이, 공격자는 훼손된 자금을 두 개의 중간 주소를 거쳐 OFAC 제재 대상인 이더리움 스마트 계약 믹서 Tornado Cash로 보냈습니다.
Reactor 사용자이신가요? 이 그래프를 직접 여기에서 확인해 보세요.
그러나 이러한 예측 모델에 대한 접근만으로는 해킹 방지를 보장하지 않습니다. 프로토콜이 효과적으로 대응할 수 있는 적절한 도구를 갖추지 못한 경우가 있기 때문입니다.
더 강력한 암호화폐 보안의 필요성
2024년 암호화폐 도난 사건의 증가는 업계가 점점 더 복잡하고 진화하는 위협 환경에 대처해야 할 필요성을 보여줍니다. 암호화폐 도난 규모가 2021년과 2022년 수준까지 회복되지는 않았지만, 위에서 설명한 사례는 기존 보안 조치의 격차와 새로운 공격 방식에 적응해야 할 중요성을 강조합니다. 이러한 과제를 효과적으로 해결하기 위해서는 공공 및 민간 부문의 협력적 접근이 필수적입니다. 데이터 공유 이니셔티브, 실시간 보안 솔루션, 고급 추적 도구, 타겟팅된 교육 등을 통해 이해관계자들은 신속하게 악성 행위자를 식별하고 중화할 수 있으며, 암호화폐 자산을 보호하는 데 필요한 회복력을 구축할 수 있습니다.
또한 암호화폐 규제 체계가 계속 발전함에 따라 플랫폼 보안과 고객 자산 보호에 대한 감독이 강화될 것으로 예상됩니다. 업계 모범 사례는 이러한 변화에 발맞추어 발전해야 하며, 예방과 책임성을 모두 보장해야 합니다. 법집행 기관과의 강력한 파트너십을 구축하고 신속한 대응을 위한 자원과 전문성을 갖추는 것이 암호화폐 업계의 방어력을 강화하는 데 필수적입니다. 이러한 노력은 개별 자산을 보호하는 것뿐만 아니라 디지털 생태계에 대한 장기적인 신뢰와 안정성을 구축하는 데 중요합니다.
이 웹사이트에는 Chainalysis, Inc. 또는 그 계열사(총칭하여 "Chainalysis")의 통제를 받지 않는 제3자 사이트에 대한 링크가 포함되어 있습니다. 이러한 정보에 대한 접근은 Chainalysis의 사이트 또는 운영자에 대한 연관성, 보증, 승인 또는 추천을 의미하지 않으며, Chainalysis는 해당 사이트에 호스팅된 제품, 서비스 또는 기타 콘텐츠에 대해 책임지지 않습니다.
이 자료는 정보 제공 목적으로만 작성되었으며, 법적, 세금, 재무 또는 투자 자문을 제공하기 위한 것이 아닙니다. 수신자는 이러한 유형의 결정을 내리기 전에 자신의 자문가와 상담해야 합니다. Chainalysis는 이러한 결정 또는 수신자의 기타 행위나 누락에 대한 책임이 없습니다.
Chainalysis는 이 보고서의 정보의 정확성, 완전성, 적시성, 적합성 또는 유효성을 보장하거나 보증하지 않으며, 그러한 정보의 오류, 누락 또는 기타 부정확성에 기인한 모든 청구에 대해 책임지지 않습니다.
이 글은
