미국 정부가 북한 관련 해킹 그룹이 주요 암호화폐 거래소에서 탈취한 약 270만 달러 상당의 암호화폐를 압류하기 위해 소송을 제기하면서, 북한 암호화폐 해커들의 자금 세탁 수법에 대한 새로운 정보가 밝혀졌다.
6일(현지시간) 더 블록에 따르면, 미국 컬럼비아 특별구 연방 검찰이 최근 제기한 두 건의 몰수 소송을 통해 북한 관련 해킹 그룹의 자금 세탁 방식이 드러났다. 이번 소송은 북한과 연계된 라자루스 그룹(Lazarus Group)이 2022년 11월 암호화폐 옵션 거래소 데리빗(Deribit)에서 훔친 2800만 달러 중 170만 달러어치의 테더(USDT)와 온라인 암호화폐 카지노 스테이크닷컴(Stake.com)에서 빼돌린 4100만 달러 중 현재 시세로 약 97만 1000달러에 해당하는 15.5 아발란체 연동 비트코인(BTC.b)을 회수하는 것을 목표로 한다.
첫 번째 소송은 라자루스 그룹이 데리빗 해킹 자금을 암호화폐 믹서 토네이도 캐시(Tornado Cash)를 통해 세탁한 방법에 관한 내용이다. 토네이도 캐시는 암호화폐 옹호자들이 주목하고 있는 자금세탁 재판의 핵심이 되는 서비스다. 수사 당국은 북한 해커들이 데리빗의 핫월렛 서버에 접근해 2800만 달러를 훔친 후, 이 자산을 이더리움으로 전환하고 토네이도 캐시를 거쳐 최종적으로 트론 블록체인의 테더 스테이블코인으로 바꾼 과정을 추적했다. 소송 자료에 포함된 도표가 이 과정을 보여주고 있다.
수사 당국은 특정 이더리움 지갑들 사이의 유사점을 통해 토네이도 캐시를 거친 자금을 추적했다. 이 지갑들은 비슷한 시간대에 자금을 이체받았고(몇 분 간격), 유사한 크로스체인 브릿지를 사용했으며, 거래 수수료를 위한 자금을 같은 주소에서 받았고, 결국 같은 통합 주소로 자금이 모이는 특징을 보였다.
해커들은 이더리움 자산을 USDT로 전환하는 시도를 세 차례 했다. 처음 두 번의 시도는 수사 당국이 문제의 자금 일부를 동결하면서 중단됐다. 세 번째 시도에서 해커들은 나머지 자금을 성공적으로 세탁했고, 수사 당국은 관련된 5개 지갑에서 동결한 약 170만 달러의 USDT만 확보할 수 있었다.
두 번째 소송은 라자루스 그룹이 온라인 카지노 스테이크닷컴에서 4100만 달러를 해킹한 후 이를 세탁하려 한 시도에 관한 내용이다. 이들은 세 단계에 걸쳐 자금을 세탁하려 했다. 첫째, 아발란체의 비트코인 브릿지를 통해 자금을 BTC로 전환했다. 둘째, 훔친 BTC를 비트코인 믹서인 신바드(Sinbad)와 욘믹스(Yonmix)를 통해 이동시켰다. 마지막으로, 비트코인을 USDT 같은 스테이블코인으로 전환하려 했다. 관련 자금은 첫 번째와 세 번째 단계에서 동결됐는데, 이는 아마도 아발란체 브릿지에 자산 동결 요청을 통해 이뤄진 것으로 보인다.
첫 번째 단계에서 수사 당국은 7건의 거래에서 자산을 동결했다. 이 거래들은 대체로 훔친 자산을 폴리곤의 MATIC 토큰이나 바이낸스 스마트 체인의 BNB 토큰 같은 네이티브 토큰으로 전환한 다음, 아발란체 브릿지를 통해 그 가치를 비트코인으로 옮기는 과정을 포함했다. 그러나 정부의 개입에도 불구하고, "북한 해커들은 훔친 자금의 대부분을 BTC 블록체인으로 전송할 수 있었다"고 소송 자료는 밝히고 있다.
비트코인으로 옮긴 후, 해커들은 이더리움의 토네이도 캐시와 유사한 서비스를 제공하는 신바드와 욘믹스라는 믹서를 사용해 훔친 자금의 이동을 더욱 복잡하게 만들었다. 소송 자료에 따르면 "수사 당국은 두 믹싱 서비스를 통한 훔친 자금의 흐름을 북한 해커들의 다음 세탁 단계까지 추적했다"고 한다. 그러나 통합 지갑을 식별했음에도 불구하고 수사관들은 현재 가격으로 약 6270달러에 해당하는 추가 0.099 BTC만을 회수할 수 있었다.
수사 당국의 불법 암호화폐 추적 및 압류 능력이 향상됐음에도 불구하고 라자루스 그룹은 여전히 활발히 활동하고 있다. 최근에는 인도 암호화폐 거래소 와지릭스(WazirX)에서 230만 달러를 탈취한 사건의 배후로 지목되는 등 다른 공격들의 주범으로 여겨지고 있다.
뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기