미국이 달러 송금을 막으면서 러시아는 비트코인과 이더리움 송금을 통해 서방의 제재를 돌파하고 있다. 이와 유사하게 서방의 경제 제재 국가인 이란의 경우 테헤란에서 비트코인의 가격이 글로벌 시세 대비해서 10~25%까지 높다.

북한의 경우 달러 기반의 글로벌 은행망에서 배제 된지 오래되었기 때문에 달러 획득을 비롯하여 정상적인 금융 네트워크를 이용할 수 없는 상태이다. 그래서 북한은 외화 획득의 한 방법으로 금융 해킹을 비롯하여 게임 아이템 해킹에 국가의 역량을 집중 했다.

2000년 초 온라인 게임 시장이 활성화되었을 때 온라인 게임의 머니, 아이템이 현금처럼 거래되기 시작했다. 사실상 가상화폐는 디지털화된 한국의 온라인 게임인 리니지의 아덴이 시초라고 볼 수 있다. 북한의 해킹 조직은 유저들의 게임 머니와 아이템을 노리고 집요하게 해킹을 했다.

해킹에 사용된 기법과 해킹 기법, 로그 분석, 프로그램을 리버스엔지니어링을 하면 해커를 대강 특정 지을 수 있다. 블록체인 데이터 추적 분석 스타트업인 체이널리시스 7월 22일 “국가 주도 범죄와 사이버 범죄로 인해 2022년 믹서 사용량이 사상 최고치를 기록했다”고 발표했다. 체이널리시스가 지칭한 국가는 북한이다.

북한은 라자루스 그룹과 블렌더 그룹이라는 크게 2개의 해킹 그룹을 운영하고 있고 한국의 금융망을 비롯해 온라인 게임 해킹을 한 전력이 있다. 체이널리시스에 따르면 북한의 해킹팀인 라자루스 그룹은 올해 디파이에서 10억달러 상당의 가상자산을 탈취한 것으로 추정하고 있다.

라자루스 그룹이 주로 사용하는 해킹 방식은 사회 공학적 해킹을 결합하여 텔레그램, 카카오톡을 이용하여 피해자들에게 가상화폐 계정을 탈취하는 방식을 주로 사용하고 있다. 이들이 만든 해킹 프로그램은 2000년대 초부터 사용한 프로그램을 수정하여 사용하고 있다. 악성 코드의 계보가 금융, 게임쪽에서 한국 기업을 괴롭혔던 북한산 코드와 거의 일치하고 있다.

국내 가상화폐 거래소 해킹의 배후에 북한의 라자루스 해킹 그룹이 연관되어 있다는 증거는 여러 정보 기관과 보안 관련 종사자들의 대체로 일치된 견해이다. 보안 전문가들과 각국의 사이버 보안 기관들이 특정 해킹 그룹의 배후를 단정 짓는 경우에 상당한 근거가 있는 경우가 대부분이다.

2012년 보안 전문 기업인 파이어아이 맨디언트 사업부에서는 서방의 각종 해킹 사고의 배후에 중국 정부의 지원을 받는 해킹 그룹이 있다는 보고서를 낸 적이 있다.

뉴욕타임즈 탐사전문 기자인 데이비드 E 싱어 기자가 쓴 ‘퍼펙트 웨폰’에서는 맨디언트 사업부가 해커들을 역으로 해킹하여 그들이 해킹하는 모습과 활동을 모니터링했다는 내용이 나온다. 중국 61398 해킹 부태가 결국 신원이 밝혀진 이유는 SNS 때문이었다고 한다. 해커는 중국의 방화벽인 만리장성을 우회해서 페이스북에 로그인하면서 해커의 이름과 정체가 들통났다고 한다.

한국의 정보 기관을 비롯하여 다수의 보안 기관에서도 여러 가지 포렌식 및 수사 기법을 통해 라자루스 그룹이 북한과 연관되어 있음을 이견 없이 단정 짓고 있다.

해킹된 가상화폐는 거래 내역을 감추기 위해 탈중앙화된 거래소나 디파이를 이용하기도 한다. 이후 정밀한 추적을 피하기 위해 익명의 송금을 지원하는 믹서(Mixer)라는 서비스를 이용해 돈세탁 과정을 거친다.

믹서는 예치한 가상화폐와 인출하는 가상화폐 사이에 다른 출처의 가상화폐를 섞어서 자금흐름 추적을 어렵게 만드는 시스템이다. 예를 들면 A,B,C,D가 각각 1개의 이더리움을 믹서에 보내고, A가 먼저 1개의 이더리움을 받는 상황을 가정하자. 익명 송금 기능 서비스인 믹서는 A한테는 B가 예치한 계좌에서 0.4 이더리움 C에서 0.3 이더리움, D에서 0.3 이더리움을 분할하여 A가 지정한 인출 가상화폐 계좌로 송금시켜주는 식이다. 이렇게 하면 자금의 출처가 희석되는 효과가 있다.

미국과 유럽의 경우 몇넌 전, 이런 자금 세탁을 하는 믹서를 불법화하고 사이트 폐쇄를 하는 등 강력한 대응을 하고 있다.

2022년에만도 북한은 10억 달러 상당의 가상화폐를 해킹했다. 북한이 익명 송금을 지원하는 믹서의 주요 사용자로 떠오름에 따라 한국인을 상대로 가상화폐 해킹 사고를 막기 위해 믹서 서비스를 적극적으로 차단할 필요가 있다.

한국의 가상화폐 거래소는 익명의 코인 전송 기능이 있는 소위 다크 코인을 퇴출 시켰다. 가상화폐 거래소에서는 가상화폐 해킹을 막기 위해서 비정상 거래 탐지 기능을 통해 투자자의 피해를 사전 예방하고 있다.

이에 더불어 야간과 주말 등의 취약 시간대에 지연 송금 시간을 늘리는 등의 추가적인 조치가 필요하다. 또한 송금 지갑을 지정하는 트레블룰이 있지만, 믹서 지갑 주소에 대해서 송금을 원천 차단하는 등의 보안 서비스가 확대된다면 좀 더 안전한 가상화폐 거래소가 될 것이다.

북한의 사이버 공격은 사회 공학적 해킹을 이용하기 때문에 막기 힘들지만, 믹서를 차단하는 등의 거래소의 추가적인 보안 조치가 확대되기를 기대한다.