업비트에 바이비트까지…라자루스 그룹, 산업의 판도를 흔들다 [블록렌즈]

(게티이미지뱅크)

북한의 해커 그룹 라자루스가 다시 한번 일을 냈습니다. 이들이 공격한 대상은 굴지의 글로벌 가상자산 거래소 바이비트인데요.

라자루스 그룹으로 추정되는 이들은 22일 바이비트에서 총 14억6000만 달러(약 2조 원)가량의 이더리움을 탈취했는데요.

이로 인해 바이비트에서 뱅크런(예금 대량 인출)이 발생했습니다. 40억 달러가 넘는 자금이 한 번에 빠졌죠.

비트코인도 급락했는데요. 이날 10만 달러를 목전에 둔 비트코인은 해킹 사태로 급락하며 25일 오후 3시 기준 9만1000달러까지 떨어진 것이죠.

(게티이미지뱅크)

라자루스, 업비트 침투로 580억 원 탈취

라자루스라는 이름의 유래는 정확하게 밝혀지지 않았는데요. 이 이름은 유명 게임 '디아블로'에서 악마에게 지배당해 타락하는 캐릭터의 이름과 같습니다. 또 다른 북한의 해커팀 '안다리엘'도 해당 게임에서 따온 이름인 만큼, 여기서 따온 것으로 추정하는데요.

이들은 앞서 2019년 11월 업비트가 보관하던 이더리움 34만2000개(당시 시세 580억 원)를 탈취했습니다.

지난해 11월 경찰청 국가수사본부는 이 사건과 관련해, 북한 대남 공작 기구인 정찰총국 산하 라자루스, 안다리엘이 업비트를 합동 공격했다고 공식적으로 밝혔는데요. 경찰에 따르면 이 조직들은 그동안 해킹 대상이 분화된 것으로 알려졌죠. 라자루스는 정부기관과 금융회사, 안다리엘은 군 및 방산업체 등을 주로 해킹해 왔다고 합니다.

경찰은 미국 연방수사국(FBI)과의 공조로 확보한 북한 IP(인터넷 주소), 탈취된 가상 자산의 흐름을 추적한 결과를 근거로 북한 소행이라고 판단했는데요. 해킹에 사용된 컴퓨터 등 정보 통신 기기에서 북한식 표현으로 중요하지 않은 일을 뜻하는 ‘헐한 일’이라는 한국어 단어가 사용된 흔적도 발견됐다고 합니다.

경찰 관계자는 "탈취된 업비트의 이더리움이 독립 전산망이 아닌, 외부와 온라인으로 연결된 가상자산 지갑인 '핫 월렛'에 보관 중이었기 때문에 해킹에 상대적으로 취약한 측면이 있었다"고 발표했습니다.

(게티이미지뱅크)

이번엔 콜드월렛 공략…멀티 시고 허점 노려

하지만 이번 해킹에서는 핫 월렛이 아닌 콜드월렛을 공략해 충격을 줬습니다.

콜드월렛은 인터넷이 연결되지 않은 휴대용 저장장치(USB) 형태의 전자지갑 혹은 노트북인데요. 이를 열기 위해서는 두 명 이상의 서명이 필요한데, 이를 '멀티 시그'(Multi sig)라고 하죠.

통상 거래소에서는 콜드월렛을 열기 위한 별도의 보안실을 구축합니다. 두 명 이상의 보안 담당자는 콜드월렛에서 핫 월렛으로 자금을 옮기거나, 그 반대로 자금을 옮길 때 각각의 보안실로 들어가 서명을 하는 작업을 진행하죠.

이에 라자루스 그룹은 '소셜 엔지니어링' 기업을 통해 멀티 시그 서명을 위조한 것인데요.

해커들은 서명 인터페이스를 조작, 정상적인 거래로 보이게 한 뒤 이를 탈취한 것이죠.

박세준 티오리 대표는 자신의 사회관계망서비스(SNS)를 통해 "해커는 서명 화면, 지갑 주소, 인터넷 주소(URL) 등을 통상적인 이체처럼 꾸몄지만, 실제로는 바이비트 다중서명 이더리움 콜드월렛의 마스터 카피를 변경하도록 하는 트랜잭션을 서명자들에게 서명하게 한 것"이라고 설명했습니다.

(게티이미지뱅크)

소셜 엔지니어링 이슈 빈번…대책 마련해야

소셜 엔지니어링 기법은 사람의 심리를 이용해 개인정보를 탈취하는 것을 의미하는데요. 주로 회사를 사칭해 고객의 계정을 빼앗거나 회사의 직원에 접근해 악성 코드를 통해 계정을 탈취하는 데 사용되곤 합니다.

대표적으로 이달 초 코인베이스에서 발생한 해킹은 소셜 엔지니어링 기법이 적용됐습니다.

당시 해커들은 코인베이스 고객 지원팀으로 사칭해 일반 고객에게 접근해 개인정보를 빼돌렸는데요. 피해자들은 해킹된 코인베이스 월렛으로 자금을 이체하거나 거짓 주소를 화이트 리스트(허용 목록)에 등록하도록 유도당했죠.

이토록 치밀한 소셜 엔지니어링 기법은 이번에도 적극적으로 활용됐는데요.

라자루스 집단은 먼저 바이비트 내부 직원들을 대상으로 피싱 이메일과 허위 채용 제안을 보내 1차 보안 관문을 무력화시킨 것으로 알려졌습니다.

보안 전문 기업 슬로우미스트는 이를 구체적으로 공개했는데요.

슬로우 미스트는 "최근 라자루스 해커들은 기업 관계자들과 접촉 후 수백~수천 달러 상당의 가상자산을 전송해 신뢰를 형성하는 방식으로 접촉한다"며 "이후 악성 코드가 포함된 파일을 전송하도록 한 뒤, 시스템에 접근한다"고 설명했습니다.

그러면서 "이러한 공격 방식은 주로 깃허브 비공개 저장소나 채팅 애플리케이션을 통해 이뤄진다"며 "내부 보안 교육을 강화해야 한다"고 덧붙였죠.

(게티이미지뱅크)

"보안 인식 개선 필요"…국내서도 피싱 활개

슬로우미스트가 지적했듯 업계에서는 보안에 대한 낮은 인식이 화를 불렀다는 의견이 나오고 있습니다.

앞서 코인베이스 해킹과 관련해 거래소 측의 대응을 비판한 온체인 보안 전문가 ZachXBT도 "보안 정책이 허술해 직원들의 대응이 늦어, 즉각적으로 대응하지 못한 것이 가장 큰 취약점"이라고 강조했는데요.

여기에 자오 창펑 바이낸스 설립자는 "이번 해킹 사태에서 무서운 것은 피해 거래소가 서로 다른 다중서명 솔루션 공급업체와 협업했다는 점"이라고 지적했죠.

이와 관련해 슬로우미스트는 △개인 키를 핸드폰에 사진이나 메모로 저장하는 경우 △암호화 없이 클라우드 플랫폼에 저장하는 경우를 조심하라고 경고했는데요.

최근 피싱 공격은 주로 SNS인 X를 통해 이뤄진다고 설명했습니다. 특히 X의 게시물 첫 번째 댓글에 작성된 링크가 피싱 링크로 사용된다고 합니다.

국내에서는 금융감독원을 사칭하는 사례가 빈번하게 일어나고 있는데요. 금감원 가상자산감독국 소속 직원을 사칭하고 위조된 공문을 첨부해 가상자산 재단에 각종 기밀 자료를 요구하는 이메일이 발송되고 있는 것이죠

피싱범들은 금융감독원 소속원의 이름, 연락처를 기재하고 금융감독원을 사칭한 위조 공문을 첨부하여 마치 금융감독원이 직접 발행재단에 자료를 요청한 것처럼 사칭 메일을 발송하고 있는 것입니다.

이에 금감원은 "금융감독원에서는 어떤 상황에서도 재단의 기밀 자료나 재단 대표자의 개인정보 등을 요구하지 않는다"며 "관련 메일을 받았을 경우 회신하지 말고 즉시 삭제해주시길 바란다"고 말했습니다.