북한 첩보기관 정찰총국 연계 해킹조직 라자루스가 미국 블록체인 기술 기업에서 1억달러(1298억5000만원)을 탈취했다는 분석이 나왔다.

29일(현지시간) 주요 외신들에 따르면 블록체인 포렌식 기업 엘립틱 엔터프라이즈는 지난 24일 블록체인 기술 기업 하모니에서 1억 달러에 달하는 가상자산을 훔친 배후로 라자루스를 지목했다. 엘립틱은 "해킹 특성과 이어진 돈세탁 방식을 봤을 때 북한의 라자루스 조직이 이번 사건에 책임이 있을 가능성이 높은 징후가 포착됐다"고 설명했다.

하모니는 P2P(개인간금융) 사이트 등 비전통 금융 서비스를 대상으로 블록체인 상품을 개발하는 기업이다. 이 기업은 저장된 가상자산을 다른 지갑으로 보낼 때 '호라이즌 브릿지'라는 기술을 사용하는데, 이번 사건의 경우 이 브릿지가 공격받으며 피해를 입은 것으로 분석됐다.

엘립틱 자료에 따르면 이처럼 호라이즌 브릿지를 해킹하는 것은 라자루스가 자주 사용하는 방식이다. 이들은 브릿지에 침투하기 위해 아시아 태평양 지역에서 일하는 하모니 직원의 사용자 이름과 비밀번호를 목표로 삼은 것으로 알려졌다. 또 자동화한 돈세탁 서비스를 활용하면서 아시아 태평양 지역이 밤 시간대일 때 자금을 옮겼다.

해킹한 자금은 이더리움(ETH)으로 전환됐으며, 자금 추적을 막기 위해 가상자산 믹서 '토네이도 캐시(Tornado Cash)'로 보내졌다. 믹서는 가상자산을 쪼개 누가 전송했는지 알 수 없도록 만드는 기술이다. 이 과정을 반복하면 자금 추적 및 사용처, 현금화 여부 등 거래 추적이 어려워진다. 토네이도 캐시로 송금된 금액은 전체 금액 중 62%에 달하는 것으로 나타났다. 

임종인 고려대학교 정보보호대학원 석좌교수는 "북한 해킹 조직들에게는 돈벌이 수단으로 가장 좋은 것이 가상자산"이라며 "전통 금융과 달리 가상자산 거래소 같은 곳은 국제규범이 마련되지 않아 국가별로 규제 차이가 있으며 이같은 빈틈을 이용해 얼마든지 자금을 마련할 수 있는 것"이라고 설명했다.

또 그는 "최근 북한 해킹조직들이 가상자산 거래소나 업체를 직접적으로 해킹하는 이유는 트래블룰과 러시아, 중국에 대한 경제제재 때문"이라며 "트래블룰로 인해 기업으로부터 가상자산을 송금 받기가 어려워졌으며, 러시아나 중국 내 블랙마켓이 전처럼 활성화되지 않아 직접적인 공격을 가하는 것"이라고 설명했다.

김가은 기자 7rsilver@techm.kr