CryptoLeo( @LeoAndCrypto ) 작성
암호화폐 세계는 오랫동안 북한 해커들의 공격을 받아왔습니다!
최근 미국 안보동맹(SEAL)은 "진짜 북한 개발자를 식별하는 방법"이라는 제목의 게시물과 함께, 자사가 개설한 웹사이트에서 북한 해커들의 사진 6장을 게시했습니다. SEAL은 이미지 출처 URL인 lazarus.group 도 공개했습니다.
악명 높은 북한 해커 조직인 라자루스 그룹에 대해서는 다들 잘 알고 계실 겁니다. 이 게시물은 소셜 미디어에서 뜨거운 논쟁을 불러일으켰습니다. 이유는 간단합니다. 북한 해커들이 인터넷 개발자나 엔지니어와 같은 가짜 신원을 사용하여 프로젝트와 기업에 침투하고, 자금을 훔치고 프로젝트를 조기에 실패시키기 위해 다양한 공격을 감행하고 있기 때문입니다.
북한 최대의 배후 위협, 라자루스 그룹
북한 최대 해커 집단인 이들은 최근 몇 년간 발생한 모든 대규모 해킹 사건에 연루되어 왔습니다. 다양한 해킹 기법을 사용하여 주요 기관과 기업의 막대한 암호화폐 자산을 탈취했습니다. 심지어 비트코인을 포지션 정부 기관 순위에서도 3위를 차지하며, 비트코인 다이아몬드 보유량 1위인 부탄과 엘살바도르를 제치고 미국과 영국에 이어 두 번째로 많은 비트코인 포지션 있습니다.
관련 참고 자료: 라자루스 그룹은 블록체인 포지션 비트코인을 온체인 보유한 3대 기업입니다. 북한도 전략 비축량을 암호화하려 하고 있을까요?
실제로 라자루스 그룹의 절도 활동은 암호화폐 업계를 훨씬 넘어섭니다. 그들의 업무 는 은행 자금, 기밀 데이터, 영업 비밀, 군사 정보, 랜섬웨어 등 광범위합니다. 일각에서는 라자루스 그룹의 활동이 항상 돈 때문이 아니라, 북한의 기술 발전을 지원하고 지정학적 목적을 위해 혼란을 조장하기 위해 공식 기술과 데이터를 훔치는 데 목적이 있다고 주장하기도 합니다.
암호화폐 업계와 관련하여, Lazarus Group의 지난 4년간 운영 성과는 다음과 같습니다.
2022년: Axie Infinity에서 6억 달러 이상의 암호화폐 자산이 도난당했습니다.
구체적으로, 해커는 링크드인과 왓츠앱을 통해 Axie Infinity 개발사인 Sky Mavis의 엔지니어에게 연락하여 새로운 채용 기회에 대한 면접을 제안했습니다. 여러 차례의 면접 끝에, 그는 매우 높은 연봉의 직책과 가짜 제안을 받았습니다. 이 가짜 제안은 PDF 파일로 전송되었습니다. 엔지니어가 PDF 파일을 다운로드하자, PDF 파일에 내장된 악성코드가 로닌 시스템에 침투했습니다. 이후 해커는 로닌 네트워크 검증기를 장악하고 자금을 횡령했습니다.
2023년: Poloniex와 HTX는 2억 달러 이상의 손실을 입었습니다.
폴로닉스와 HTX 도난 사건은 개인 키 유출로 인해 발생했습니다. 해커들은 APT(지능형 지속 위협) 전술을 사용하여 폴로닉스에 침투하여 장기간 감시한 후, 결국 핫월렛에 접근했습니다. APT 공격은 고도의 은밀성, 특정 대상 지정, 지속적인 공격, 그리고 고도화된 수법을 특징으로 합니다.
두 플랫폼 모두 저스틴 선 (Justin Sun) 관련이 있습니다(당시 브라더 선이 표적이 되었다는 결론을 내릴 수 있습니다).
2024년: DMM Bitcoin(3억 달러)과 WazirX(2억 3천만 달러)에서 5억 달러 이상 도난
2024년 5월, 일본 가상화폐 거래소 DMM 비트코인(DMM Bitcoin)은 자사 지갑에서 4,502.9비트코인이 부당하게 유출되는 것을 감지했습니다. 일본 금융청(FSA)은 DMM에 도난 사건에 대한 조사와 고객 보상 계획을 요청했습니다. 이후 공식 성명에서 이 거래소 은 TraderTraitor의 소셜 엔지니어링 공격으로 발생했다고 밝혔습니다. TraderTraitor는 링크드인 채용 담당자로 위장하여 DMM의 거래 관리를 담당하는 Ginco Inc. 직원들을 속여 악성 코드를 다운로드하게 했습니다. 악성 코드는 거래 요청을 조작하고 해커의 지갑으로 자금을 이체했습니다. DMM은 고객에게 보상을 약속했지만, 재정적 압박으로 인해 2024년 12월에 문을 닫았습니다. DMM은 2025년 3월 8일에 고객 계좌와 자산을 SBI VC Trade로 이전할 예정입니다.
2024년 7월, 인도 거래 플랫폼 WazirX가 해킹당하여 약 2억 3천만 달러가 도난당했습니다. 조사 보고서에 따르면, 이번 도난 사건은 WazirX의 다중 서명 지갑 중 하나에 대한 사이버 공격으로 인해 발생했습니다. 공격자는 Liminal 인터페이스와 실제 거래 데이터 간의 불일치를 악용하여 WazirX 서명자 3명과 Liminal 서명자 1명을 속여 겉보기에 정상적인 거래(예: 표준 USDT 이체)를 승인하도록 했습니다. 실제로 이 거래에는 지갑의 스마트 계약 로직을 업그레이드하여 변조한 악성 페이로드가 포함되어 있었습니다. 이러한 변조를 통해 공격자는 WazirX의 키 없이도 모든 자금을 완전히 제어하고 이체할 수 있었습니다.
2025년: Bybit에서 15억 달러 도난
2025년 2월, Bybit은 역사상 최대 규모의 암호화폐 도난 사건인 15억 달러 규모의 도난을 당했습니다. 특히, 시스템 게시 권한이 있는 개발자의 컴퓨터가 침해되었습니다. 공격자는 Safe의 AWS S3 버킷에 저장된 JavaScript 코드 파일을 업로드하고 수정했습니다. 이 파일에는 Bybit의 이더 Safe 지갑과 알려지지 않은 지갑(공격자가 테스트 및 검증에 사용한 것으로 추정됨)을 표적으로 삼는 악성 로직이 포함되어 있어 Safe{wallet} 프런트엔드 인터페이스가 침해되었습니다. 이후 Bybit의 정상적인 핫 및 콜드 지갑 토큰 전송 중에 모든 Safe{wallet} 사용자는 악성 코드에 감염된 Safe{wallet} 프런트엔드를 보고 사용했습니다. 결과적으로 Bybit의 다중 서명 참여자는 Safe{Wallet} 프런트엔드 화면을 정상적으로 볼 수 있었습니다. 결국 해커는 여러 서명자(세 명)를 속여 악의적인 거래를 통해 다중 서명 지갑을 장악하고 공격을 완료했습니다.
위에 언급된 모든 사건은 라자루스 그룹이 직접 관여했거나 간접적으로 연루된 해킹 사건입니다. 도난당한 금액은 막대했고 수법 또한 전문적이었습니다. 도난의 상당수는 보안 취약점이나 인적 오류로 인한 것이 아니었지만, 라자루스 그룹의 장기적인 감시에도 불구하고 자금이 유출되었습니다. 라자루스 그룹은 어디에나 존재한다고 할 수 있습니다.
CZ는 Lazarus Group이 사용하는 일반적인 사기에 대한 경고를 제공합니다.
게시물이 게시된 후 CZ는 재빨리 이를 리트윗하고 북한 해커들이 사용하는 몇 가지 일반적인 사기 수법을 나열했습니다.
1. 구직자로 위장하여 회사에 취직하려고 시도합니다. 이를 통해 해커는 목표물에 접근하여 공격할 수 있으며, 특히 개발, 보안, 재무 분야에 관심이 많습니다.
2. 고용주인 척하며 직원 면접/채용을 시도합니다. 면접 중에 Zoom에 문제가 있다고 주장하며, 직원의 기기를 감염시킬 수 있는 바이러스가 포함된 "업데이트" 링크를 면접 대상자에게 보냅니다 . 또는 직원에게 프로그래밍 문제를 묻고 "샘플 코드"를 보내기도 합니다.
3. 사용자로 위장하여 고객 지원 요청에 바이러스를 다운로드하는 페이지로 연결되는 링크를 보냅니다 .
4. 기업 직원과 아웃소싱 공급업체에 뇌물을 제공하여 데이터를 획득하는 행위. 몇 달 전, 인도의 한 대형 아웃소싱 서비스 회사가 해킹을 당해 미국 주요 거래소 의 사용자 데이터가 유출되었고, 4억 달러(아마도 코인베이스)가 넘는 사용자 자산이 손실되었습니다.
마지막으로 CZ는 기업들에게 직원들에게 알 수 없는 파일을 다운로드하지 않도록 교육하고 구직자를 신중하게 심사할 것을 촉구했습니다.
이러한 공격은 기업뿐만 아니라 개인에게도 낯선 사람의 링크를 보거나, 화면을 공유하는 등 유사한 상황에 직면했을 때 특히 주의해야 합니다. 특히 암호화폐 업계에서는 더욱 그렇습니다. 많은 사람들이 공격을 받은 후 자금을 이체할 때 클립보드 하이재킹(Clipboard Hijacking)이나 주소 포이즈닝 바이러스(Address Poisoning via Clipper Malware)에 감염됩니다. 이는 가장 흔한 공격 방식이기도 합니다. 사용자가 지갑 주소(BTC, ETH, SOL 주소)를 복사하면 소프트웨어가 자동으로 공격자가 제어하는 유사한 주소로 대체합니다. 이러한 대체 주소는 시작과 끝이 거의 동일한 경우가 많습니다(예: 처음 4~6자리와 마지막 4~6자리가 동일). 이로 인해 해커가 제어하는 주소로 자금을 이체하게 됩니다.
또한, 소셜 미디어에서 낯선 사람으로부터 링크를 받을 때는 주의해야 합니다. 이러한 링크에는 바이러스가 포함되어 있을 수 있기 때문입니다.
블랙리스트: 북한 해커들을 위한 데이터와 대책
현재 lazarus.group 웹사이트는 63명의 해커 목록을 업데이트했습니다. 각 해커의 사진 속 배경과 경력은 서로 다릅니다. 이 해커들은 주로 개발자, 스마트 계약 엔지니어, 그리고 소프트웨어 엔지니어(웹 3.0, 블록체인, 백엔드 개발)입니다. 그러나 목록에 있는 정보는 실제 정보가 아닙니다. Lazarus Group 팀 해커들이 위조한 파일이거나 Lazarus Group의 구성원 또는 관계자일 가능성이 높습니다. 목록에 있는 많은 사람들은 여전히 기업에서 일하고 있습니다.
이 인터페이스는 이전 이름, 소셜 미디어 계정(이메일, 트위터, 전화번호 등), GitHub 계정, 경력, 촬영된 이미지, 심지어 암호화폐 지갑 주소까지 나열합니다. 또한 LinkedIn 위조 흔적 및 IP 이상 징후와 같은 더욱 상세한 "이력서" 분석도 제공합니다. 이 데이터는 인사팀과 기업이 면접관과 직원이 리스크 인지 신속하게 파악하는 데 도움이 될 수 있습니다.
또한 해당 웹사이트는 구직자 계정 검증 기능도 출시했는데, 여기에는 X, Github, TG, DC, 웹사이트 및 이메일 검증(무료)이 포함됩니다.
SEAL에서 출시한 SEAL 프레임워크는 보안 관련 지식을 더 잘 이해하는 데 도움이 될 수 있습니다. 해당 문서에는 다음과 같은 내용이 언급되어 있습니다.
북한 IT 노동자들은 종종 가짜 신분을 사용하여 외국 기업을 위해 원격으로 IT 업무를 수행하며, 특히 무기 프로그램에 필수적인 수입원입니다. 이들은 다양한 IT 업무를 수행하지만, IT에만 국한되지 않고, 종종 신분과 거주지를 위장하여 프리랜서 계약을 체결하고 수입을 창출하여 북한으로 송금합니다. 이들은 주로 중국과 러시아에 기반을 두고 있으며, 일부는 아시아, 아프리카, 라틴 아메리카 지역에도 거주하고 있습니다.
이 문서는 북한이 신원을 숨기고 원격 온라인 작업을 지원하는 "조력자" 네트워크를 운영하고 있음을 보여줍니다. 조력자들은 디지털 및 물리적 신원을 제공하여 수익을 창출하며, 그들의 고객은 대부분 북한 해커입니다.
2010년 이후 북한 IT 종사자들의 수는 증가하고, 지리적 분포가 확대되었으며, 활동 범위도 다양해졌습니다 . 이들의 주요 목표는 다음과 같습니다.
- 원격 IT 작업을 통해 북한 정권에 안정적인 수입을 창출합니다.
- 북한의 IT 관련 업무(밀수 및 자금세탁)에 대한 지원 네트워크 구축
- 서구 기업의 기술, 인프라 및 신원 정보(개인 및 기업, 디지털 및 물리적 신원 정보 포함)에 대한 접근
- 회사 비밀의 공개(의도적 또는 비의도적)
- 강탈(랜섬웨어 및 협박)
- 제재를 피하세요(북한 기업은 서방 국가로부터 어떠한 형태의 지불도 받는 것이 금지되어 있습니다).
- 해킹(기반 시설에 대한 영구적인 접근 권한을 확보하여 발판을 마련하거나 침투하는 행위)
- 맬웨어(나중에 도난하기 위해 가치가 높은 대상을 감염시키는 용도).
현재 다양한 기업과 정부 기관에서 활동하는 북한 해커의 수는 2,000명에서 15,000명으로 추산됩니다. 그러나 이 수치에는 동일한 해커가 여러 개의 신원을 사용하거나 사용하지 않는 계정을 재사용하는 경우도 포함됩니다. SEAL은 전체 웹 3 개발자의 약 3~5%가 북한 출신이며, 언제든 북한과 연계된 계정이 웹 3 기업에 적극적으로 취업을 모색하고 있다고 추정합니다.
SEAL Frameworks는 또한 직원이 Lazarus Group과 관련이 있다는 사실을 발견한 회사에 다음과 같은 조언을 제공합니다.
- 즉시 해고하지 말고, 적의 경고를 피하면서 조직의 안전을 확보하면서 평소와 같은 상태를 유지하세요.
- 모든 지급을 즉시 중단하십시오. 의심되는 경우, "재정 문제" 또는 기타 사유를 주장하여 지급을 지연할 수 있습니다.
- 코드 저장소, 클라우드 인프라 및 내부 시스템에 대한 모든 접근 권한을 체계적으로 철회하십시오. 또한, 보고를 위해 모든 가용 데이터(예: 고객 인증 문서, 암호화폐 주소, 이메일, 이력서)를 수집하십시오.
- 종속성, 빌드 파일(지속적 통합/지속적 배포), 잠재적 백도어에 세심한 주의를 기울여 모든 코드 기여에 대한 포괄적인 보안 감사 수행합니다.
- 보안 리스크 완전히 해결되면 업무 관련 사유(예: 규모 축소, 사업 방향 변경)로 계약을 해지하고 사법 기관에 보고합니다.
지속적으로 업데이트되는 블랙리스트: 단기적 이점인가, 장기적 이점인가?
lazarus.group 의 공개 목록에 관하여: 대부분의 사람들은 이 목록이 회사가 리스크 직원이나 면접관을 더 잘 식별하고 해킹 사고의 수를 줄이는 데 도움이 될 수 있다고 믿습니다.
해커 데이터 공개는 단기적인 이점이 있을 수 있지만, 장기적으로는 목록이 공개되기 때문에 해커들이 목록에 오른 후 공개 계정 정보와 개인 정보를 수정할 가능성이 높습니다. SEAL은 많은 사람들이 여전히 평소 계정을 습관적으로 사용하여 신원을 노출하고 있다고 답했습니다. 현재 AI 기반 딥페이크 기술의 도움으로 해커들은 모든 개인 정보를 업데이트하고 심지어 외모를 완전히 바꿀 수도 있습니다. 따라서 목록 공개는 해커의 변장을 더욱 은밀하게 만들고 탐지하기 어렵게 만들 뿐이며, 특히 암호화폐 업계의 많은 사람들이 온라인에서 활동하고 있다는 점을 고려할 때 더욱 그렇습니다.
