내용 요약
2025년 한 해 동안 북한 해킹 조직이 2 억 달러(≈2조 7천 억 원) 규모의 가상화폐를 탈취해 역대 최대 피해액을 기록했다. 블록체인 분석업체 Elliptic은 이 사건이 북한이 사이버 절도에 점점 더 의존한다는 증거라고 해석했다. 전 세계적으로 누적 피해액은 6 억 달러(≈8조 원)를 넘어섰다.
핵심 포인트
- 대규모 가상화폐 탈취: 2025년 단독 사건에서 2 억 달러 이상이 훔쳐졌으며, 이는 전년 대비 3배 이상이다.
- Elliptic의 블록체인 추적: 전문 분석 플랫폼이 탈취된 자산 흐름을 실시간으로 파악, 자금 유출 경로를 시각화했다.
- 북한 해킹 조직의 진화: 사이버 절도 활동이 비즈니스 모델로 자리 잡으며, 다양한 공격 기법(피싱, 라자루스형 멀웨어 등)을 복합적으로 활용한다.
기술 세부 내용
1️⃣ Elliptic의 블록체인 분석
Elliptic은 분산 원장(Distributed Ledger) 에서 자산 이동을 추적하기 위해 다음과 같은 핵심 기술을 활용한다.
- 그래프 이론 기반 거래 네트워크
- 각 지갑(주소)을 정점(노드)으로, 거래를 간선(에지)으로 모델링한다.
- 지갑 간 거래 패턴(집계, 세분화, 지갑 연결)을 통해 클러스터(Cluster) 를 형성하고, 의심스러운 지갑을 식별한다.
- 예시: 북한 해커들이 흔히 사용하는 멀티‑시그(멀티 사인) 지갑을 자동으로 감지하고 경고를 발령한다.
- 머신 러닝(ML) + 딥 러닝(DL)
- 과거 추적 사례(예: 2022년 사파리 사건)를 학습해 이상 거래 패턴을 예측한다.
- 정형/비정형 데이터를 결합해 “자금 세탁(AML) 위험 점수”를 산정한다.
- 실제 2025년 사건에서는 ML 모델이 탈취 지갑과 수취 지갑을 90% 정확도로 매칭했다.
- 실시간 트랜잭션 모니터링
- 블록체인 노드를 직접 연결해 지연시간 < 10 초 로 새 거래를 캡처한다.
- Webhook 을 통해 거래 발생 시 즉시 보안팀에 알림을 전송한다.
- 시각화 툴: Tableau와 연동해 실시간 대시보드를 제공, 전 세계 거래 흐름을 한눈에 확인한다.
- 공급망(Chain‑of‑Custody) 추적
- 출발점(해커 지갑) → 중계 지갑 → 마지막 수취 지갑 이라는 경로를 재구성한다.
- 각 단계에서 거래 수수료(Fees), 확인 수(Confirmations), 시간 지연을 분석해 의심스러운 패턴을 식별한다.
- 결과: 2025년 2 억 달러 사건의 자금은 3 단계 중계를 거쳐 탈주되었으며, 마지막 수취 지갑은 해외 익명 지갑으로 연결됐다.
2️⃣ ️ 북한 해킹 조직의 공격 기법
북한 해커는 “Lazarus”와 “Kimsuky” 등 명칭이 있는 다수의 그룹이 있는데, 이들은 아래와 같은 복합 공격 전략을 사용한다.
| 단계 | 기법 | 주요 목적 | 방어 포인트 |
|---|---|---|---|
| 1️⃣ | 피싱(Phishing) | 내부 인프라 접근 | 다요소 인증(MFA), 스팸 필터링 |
| 2️⃣ | 멀티‑시그 지갑 설계 | 비밀키 분산 | 하드웨어 지갑, 비밀키 백업 |
| 3️⃣ | 악성 스크립트 삽입 | 지갑 소유자 권한 상승 | 코드 서명, 실행 정책 |
| 4️⃣ | 라자루스형 멀웨어 | 가상화폐 마이닝 & 스크래핑 | 엔드포인트 탐지 및 대응(EDR) |
| 5️⃣ | 중계 지갑 구축 | 자금 흐름 은폐 | 거래 패턴 분석, AML 규제 준수 |
- 피싱 단계
- Spear Phishing 을 통해 금융 기관 직원에게 악성 링크를 전송, 사내 네트워크에 침투한다.
- 사후 내부 데이터베이스에서 지갑 공개키를 수집한다.
- 멀티‑시그 지갑 설계
- 최소 3‑중 2(3 out of 2) 구조를 사용해 하나의 키만으로 거래가 진행되지 않도록 한다.
- 이로 인해 키 유출 시에도 완전 탈취가 어려워지며, 자산은 “암호화된” 형태로 보관된다.
- 악성 스크립트 삽입
- 보안 시스템(IPS/IDS)을 우회하기 위해 rootkit 과 트로이 목마 를 결합한다.
- 지갑 생성 시 JavaScript 로 자동 거래가 트리거되도록 함.
- 라자루스형 멀웨어
- Lazarus는 주로 Worm 형태로 퍼져, 암호화폐 마이닝을 동시에 수행한다.
- Kimsuky는 “APT” 스타일의 장기 침투로 지갑 정보를 수집한다.
- 중계 지갑 구축
- 3개의 지갑(수집, 중계, 최종)을 연결해 트랜잭션 타이밍과 수수료를 최적화한다.
- 자금 유출 시 지갑의 IP 주소가 은닉되어, 지갑 소유자 를 추적하기 어렵다.
방어 전략
- MFA 도입: 비밀번호 외에 OTP, 인증 앱 사용을 필수화한다.
- 정적 분석 및 서명 검증: 스크립트가 시스템에 삽입되기 전에 서명을 검증한다.
- 지갑 모니터링: 신규 지갑 생성 시 자동 알림, Elliptic 으로 연결해 실시간 추적을 수행한다.
- 금융 규제 준수: AML(자금세탁방지) 프로세스를 강화해, 탈취된 자금이 거래소에 입금되지 않도록 한다.
3️⃣ 경제적 영향과 규제 대응
2025년 한 해에 2 억 달러 규모의 자금이 탈취되는 사건은 단순한 사이버 범죄를 넘어 전 세계 금융 시스템에 위협이 된다.
- 시장의 변동성
- 대규모 탈취가 일어나면 해당 암호화폐 가격에 급격한 변동이 발생한다.
- 투자자들은 불확실성을 느끼며 금융 자산을 현물(현금)로 전환하려는 경향이 강해진다.
- 거래소 신뢰도 저하
- 탈취 지갑이 특정 거래소(예: 바이빗(Bithumb))에 연결되면, 해당 거래소는 거래 제한 또는 자산 회수 조치를 취해야 한다.
- 고객 신뢰가 떨어지면 거래소는 규제 기관과 협력해 보안을 강화해야 한다.
- 규제 대응
- OFAC(미국 재무부)와 같은 기관이 북한에 대한 제재를 강화한다.
- EU와 한국은 AML/KYC 절차를 강화해 거래소 인증을 강화하고, 거래 모니터링을 보다 세밀히 한다.
- 블록체인 분석 업체가 제공하는 실시간 경보를 통해 제재 대상 지갑을 자동 차단한다.
- 전략적 대응
- 공동 대응 포럼: 국제 금융기관(예: IMF, BIS)과 협력해 자산 회수 방안을 논의한다.
- 보안 벤치마크: 금융기관은 보안 가시성 지표(예: 지갑 연결 횟수, 거래량)를 설정해 위험을 정량화한다.
- 보상 메커니즘: 탈취 피해자에게 보험·보상 체계를 마련해, 신뢰를 회복한다.
주요 기술 요약
- Elliptic: 블록체인 트랜잭션을 실시간으로 분석·시각화해 자산 흐름을 추적.
- 멀티‑시그 지갑: 비밀키 분산·보안 강화.
- AML/KYC 강화: 규제 준수와 자산 회수에 필수적.
팁:
1. 지갑 주소를 주기적으로 확인해 비정상적인 입출금을 감지하세요.
2. 다중 인증을 적용하고, 핫월렛과 콜드월렛을 분리해 보안 수준을 높이세요.
3. 블록체인 분석 도구를 활용해 의심스러운 거래를 사전에 차단하세요.
참고 자료
- Elliptic 보고서(2025년 가상화폐 탈취 사례)
- ISO 27001, NIST Cybersecurity Framework
- OFAC 제재 가이드라인(북한 대상)
출처: https://www.dailysecu.com/news/articleView.html?idxno=201211
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-10-09) (0) | 2025.10.10 |
|---|---|
| [KRCERT]Redis 제품 보안 업데이트 권고 (0) | 2025.10.10 |
| [데일리시큐]드래곤포스·록빗·킬린, ‘랜섬웨어 동맹’ 결성…글로벌 사이버범죄 판도 재편 (0) | 2025.10.10 |
| [데일리시큐]오픈소스 모니터링 도구가 해킹 무기로…중국 연계 해커, 원격제어 악성코드 유포…한국도 피해 발생 (0) | 2025.10.10 |
| [데일리시큐][긴급] 소닉월 클라우드 백업 해킹…“클라우드 백업 서비스 사용한 모든 고객에 피해 발생” (0) | 2025.10.10 |