블록체인 정보 분석 회사인 TRM Labs의 보고서에 따르면, 러시아 사이버 범죄자들이 LastPass 사용자로부터 탈취한 3,500만 달러 이상의 암호화폐 자금 세탁에 연루되었을 가능성이 높다고 합니다.
이번 분석에서는 수년간 지속된 암호화폐 지갑 자금 유출이 2022년 발생한 비밀번호 관리 프로그램 라스트패스(LastPass) 해킹 사건과 연관되어 있다고 밝혔습니다. 또한, 도난당한 자금이 러시아 사이버 범죄 조직과 연계된 불법 금융 인프라를 통해 이동했다고 지적했습니다.
러시아 사이버 범죄자들이 훔친 자금을 세탁한 방법
TRM Labs 연구원들은 공격자들이 자금 흐름을 숨기기 위해 개인정보 보호 프로토콜을 사용했지만, 궁극적으로는 자금을 러시아 기반 플랫폼으로 송금했다는 사실을 발견했습니다.
보고서에 따르면, 범죄자들은 2025년 말까지도 해킹당한 금고에서 자산을 계속해서 빼돌렸다고 합니다.
악의적인 행위자들은 러시아 위협 행위자들이 과거에도 이용했던 경로를 통해 훔친 자금을 체계적으로 세탁했습니다. 그중 하나가 현재 미국 해외자산통제국(OFAC) 의 제재 대상인 거래소 크립텍스(Cryptex)였습니다.
TRM Labs는 해당 절도 사건들을 단일의 조직적인 그룹과 연결하는 "일관된 온체인 특징"을 확인했다고 밝혔습니다.
공격자들은 즉시 교환 서비스를 이용하여 비트코인이 아닌 자산을 반복적으로 비트코인으로 전환했습니다. 그런 다음 해당 자금을 Wasabi Wallet 및 CoinJoin과 같은 믹싱 서비스 로 옮겼습니다.
이러한 도구들은 여러 사용자의 자금을 모아 거래 내역을 뒤섞어 이론적으로 추적 불가능하게 만들도록 설계되었습니다.
하지만 보고서는 이러한 개인정보 보호 기술의 중대한 실패를 지적합니다. 분석가들은 행동 연속성 분석을 통해 거래를 분리해낼 수 있었습니다.
수사관들은 지갑 소프트웨어가 개인 키를 가져오는 방식과 같은 구체적인 디지털 발자국을 추적하여 믹싱 과정을 성공적으로 되돌렸습니다. 이를 통해 디지털 화폐가 개인정보 보호 프로토콜을 거쳐 러시아 거래소에 최종 입금되는 과정을 확인할 수 있었습니다.
크립텍스 외에도 수사관들은 도난당한 자금 약 700만 달러가 러시아 사이버 범죄 조직 내에서 운영되는 또 다른 거래 서비스인 아우디6로 흘러들어간 것을 추적했습니다.
러시아 암호화폐 플랫폼의 라스트패스 자금세탁 연루. 출처: TRM Labs보고서에 따르면 믹서와 상호 작용한 지갑들이 자금 세탁 과정 전후 모두 러시아와 "운영상 연관성"을 보였다고 합니다. 이는 해커들이 단순히 인프라를 임대한 것이 아니라 해당 지역에서 직접 활동했음을 시사합니다.
이번 조사 결과는 러시아 암호화폐 플랫폼이 전 세계 사이버 범죄를 가능하게 하는 데 중요한 역할을 한다는 점을 강조합니다.
이러한 거래소는 도난당한 디지털 자산에 유동성과 유출 경로를 제공함으로써 범죄 조직이 국제 법 집행 기관의 추적을 피하면서 데이터 유출을 통해 수익을 창출할 수 있도록 합니다.
