북한의 해킹과 암호화폐 도난
북한은 군사 자금을 조달하기 위해 Lazarus와 같은 국가 지원 해킹 그룹에 의존하고 있으며, 도난당한 암호화폐는 외환 수익의 거의 3분의 1을 차지하고 있습니다. 이는 전통적인 제재에 면역인 지속적이고 불법적인 현금 흐름을 제공합니다.
10월 22일 발표된 보고서에 따르면, 다자간 제재 모니터링 팀은 2024년 1월부터 2025년 9월까지 북한의 행위자들이 국가 지원 해킹 그룹과 디지털 자산 부문을 겨냥한 사이버 공격을 통해 최소 28억 달러에 달하는 암호화폐를 도난당했다고 밝혔습니다.
이 수익의 대부분은 2025년 2월 Bybit의 해킹 사건에서 비롯되었으며, 이 사건만으로도 전체의 약 절반을 차지했습니다. 보고서는 이러한 해킹 사건이 정교한 공급망, 사회 공학 및 지갑 침해 방법을 사용하는 북한의 익숙한 위협 행위자들에 의해 발생했다고 설명하고 있습니다.
해킹 그룹과 그 전략
북한의 암호화폐 작전은 Lazarus, Kimsuky, TraderTraitor 및 Andariel과 같은 국가 연계 해커 그룹의 밀접한 생태계를 중심으로 이루어지며, 이들의 흔적은 지난 2년간의 주요 디지털 자산 침해 사건에서 거의 모든 곳에서 발견됩니다. 사이버 보안 분석가들에 따르면, 이 팀들은 평양의 주요 정보 기관인 정찰총국 산하에서 운영되며, 민간 부문의 효율성을 모방한 공격을 조정하고 있습니다.
그들의 주요 혁신은 거래소를 완전히 우회하고, 대신 거래소가 안전한 저장을 위해 사용하는 제3자 디지털 자산 보관 제공업체를 목표로 삼는 것입니다. Safe(Wallet), Ginco 및 Liminal Custody와 같은 회사의 인프라를 침해함으로써 북한의 행위자들은 Bybit, 일본의 DMM Bitcoin 및 인도의 WazirX와 같은 고객의 자금을 훔칠 수 있는 마스터 키를 얻었습니다.
DMM Bitcoin에 대한 공격은 3억 8백만 달러의 손실과 거래소의 최종 폐쇄로 이어졌으며, 이는 TraderTraitor의 행위자가 LinkedIn에서 채용자로 가장하여 Ginco 직원에게 악성 파일을 열도록 속인 몇 달 전 시작되었습니다.
사이버 범죄의 글로벌 영향
다른 국가 지원 그룹들도 이 주요 노력과 협력하여 운영됩니다. CryptoCore 집단은 덜 정교하지만, 채용자와 비즈니스 임원으로 가장하여 목표를 침투하는 대량의 사회 공학을 수행합니다. 한편, Citrine Sleet는 트로이 목마화된 암호화폐 거래 소프트웨어를 배포하는 것으로 명성을 쌓았습니다.
2024년 10월의 한 상세 사건에서, Citrine Sleet의 행위자가 Telegram에서 신뢰할 수 있는 이전 계약자로 가장하여 Radiant Capital의 개발자에게 악성 ZIP 파일을 전달하여 5천만 달러의 도난으로 이어졌습니다.
도난당한 디지털 자산은 그 출처를 숨기고 사용 가능한 법정 통화로 전환하기 위해 설계된 복잡한 9단계 세탁 과정에 들어갑니다. 북한의 사이버 행위자들은 체계적으로 도난당한 토큰을 Ethereum이나 Bitcoin과 같은 기존 암호화폐로 교환한 후, Tornado Cash 및 Wasabi Wallet과 같은 혼합 서비스를 포함한 여러 서비스를 활용합니다.
그들은 또한 THORChain 및 LI.FI와 같은 크로스 체인 브리지와 집계기를 활용하여 블록체인 간에 이동하며, 종종 혼합된 자산을 Tron 기반 USDT로 변환하여 현금화 준비를 합니다. 조사관들은 이 모든 작업이 주로 중국에 있는 장외 중개인 네트워크에 의존하고 있으며, 이들은 세탁된 USDT를 수용하고 중국 UnionPay 카드를 통해 북한이 통제하는 은행 계좌에 동등한 법정 통화를 입금한다고 밝혔습니다.
결론
이러한 디지털 도난의 끊임없는 캠페인은 직접적이고 심각한 현실 세계의 결과를 초래합니다. 암호화폐 생태계에서 유출된 수십억 달러는 관료적 공허로 사라지지 않습니다. MSMT 보고서는 이 수익원이 북한의 불법 대량 파괴 무기 및 탄도 미사일 프로그램을 위한 자재 및 장비 조달에 필수적이라고 결론짓고 있습니다.
전통적인 금융 제재에 면역인 대규모 불법 현금 흐름을 제공함으로써, 글로벌 암호화폐 산업은 무기화되어 평양의 군사적 야망의 비규제적이고 원치 않는 자금 조달자가 되었습니다. 이러한 해킹 사건은 단순한 이익 범죄가 아니라, 글로벌 안보를 위협하는 군사적 증강을 자금 지원하는 국가 정책의 행위입니다.
