북한 해커 라자루스 그룹, 크립토 자금 세탁 이어가고 줌 통해 업계 경영진 노려

악명 높은 북한 해킹 조직 라자루스 그룹이 최근 탈취한 암호화폐 자금을 계속해서 이동시키는 가운데, 이들이 화상회의 플랫폼을 통해 암호화폐 업계 경영진을 타깃으로 삼고 있다.

13일(현지시간) 크립토뉴스에 따르면, 블록체인 보안 기업 서틱(CertiK)는 라자루스 그룹이 인기 믹싱 서비스인 토네이도 캐시(Tornado Cash)에 400 이더리움을 입금했다고 발표했다. 이는 현재 가치로 약 75만 9444달러에 해당한다.

이 그룹의 활동은 계속되고 있으며, 서틱는 "경계를 늦추지 말라"고 경고했다. 라자루스는 암호화폐 분야에서 가장 유명한 공격들과 연관된 악명 높은 해커 그룹이다. 이들의 공격에는 2022년 6억 2400만 달러 손실을 초래한 로닌(Ronin) 네트워크 해킹이 포함된다.

최근 2월에는 바이빗(Bybit) 거래소 해킹을 통해 14억 달러 상당의 암호화폐를 탈취했다. 공격자들이 이 모든 자금을 세탁하려는 목표를 가지고 있어 암호화폐 업계는 이 자금의 움직임을 주시하고 있다.

우려스러운 점은 사이버보안 전문가들이 라자루스가 암호화폐 개발자들을 겨냥한 새롭고 정교하며 끊임없이 진화하는 암호화폐 탈취 멀웨어를 배포하고 있다고 경고한 것이다. 구체적으로, 북한은 수개월 동안 NPM 공급망 공격을 통해 개발자들을 표적으로 삼아 자금과 데이터를 탈취하고 있다.

또한 이 멀웨어는 인기 있는 암호화폐 지갑을 침투하려 한다. 다양한 보고서에 따르면 메타마스크(MetaMask), 엑소더스(Exodus), 아토믹(Atomic) 등이 주요 표적으로 지목됐다.

최근에는 암호화폐 회사 창업자들을 표적으로 하는 다른 종류의 위협이 등장했다. 해커들은 가짜 줌 통화를 통해 데이터와 자금을 탈취하고 있다. 이들은 일반적으로 비즈니스 미팅을 설정한 후 통화 중 문제가 발생한 것처럼 가장한다.

보안 얼라이언스(Security Alliance)의 닉 백스에 따르면, 해커들은 화면에 "지루해 보이는" 벤처 캐피털리스트의 영상을 올려놓고 대상에게 자신들이 보낸 가짜 새 통화 링크를 클릭하도록 유도하지만, 이는 멀웨어다. 백스는 이 공격 그룹이 이러한 전술을 사용해 "수천만 달러"를 탈취했으며, 다른 이들도 이를 모방하고 있다고 말했다.

한편, 현재 이 해커들은 북한과 연관된 것으로 추정되지만 이는 확인되지 않았다. 체인애널리시스 보고서에 따르면, 북한과 연계된 그룹들은 "정교하고 끈질긴 수법으로 악명을 떨치고 있다". 2024년에 이들은 47건의 사건을 통해 13억 4000만 달러를 훔쳤는데, 이는 그 해 총 도난 금액의 61%, 총 사건 수의 20%에 해당한다.

픽셀몬(Pixelmon)의 CEO이자 MON 프로토콜(MON Protocol) 공동 창업자인 줄리오 실로야니스는 자신의 최근 경험을 공유했다. 그 역시 사람들이 멀웨어를 설치하게 만드는 줌 링크를 받았다. 다행히 실로야니스는 위험 신호를 발견해 해커들의 시도가 실패했다. 그는 "의심스러운 징후가 있었다. 앱 사용 허가 없이 브라우저 줌을 열고, '터미널'에 코드를 붙여넣으라고 요청했다"고 말했다.

또한 데브독 AI(Devdock AI)의 창업자 멜빈 토마스, 스테이블리(Stably)의 공동 창업자 데이비드 장, 블록체인 플랫폼 이더리스크(Etherisc)의 공동 창업자 크리스토프 무센브록 등 여러 사람들이 유사한 해킹 시도를 보고했다.

이러한 해킹 시도는 계속될 가능성이 높다. 체인애널리시스는 북한 해커들이 고급 멀웨어, 소셜 엔지니어링, 암호화폐 도난을 이용해 국가 지원 작전에 자금을 조달하고 국제 제재를 회피한다고 지적했다. 암호화폐 조사 기업 엘립틱(Elliptic)의 공동 창업자 톰 로빈슨은 북한이 도난당한 디지털 자산을 세탁하는 데 있어 가장 진보된 행위자라고 경고했다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기