지난 2월 21일 두바이 기반 코인 거래소 바이빗(ByBit)의 CEO 벤 저우는 평소와 같이 자금 이체를 승인한 후 침대에 들었습니다. 그러나 30분 후 CFO로부터 급한 전화를 받았습니다. “벤, 문제가 생겼어요. 해킹당한 것 같아요. 이더리움이 모두 사라졌어요.”
실제 상황이었습니다. 해커들은 디지털 금고 역할을 하는 외부 보관 서비스 기업인 세이프(Safe)의 직원 컴퓨터를 먼저 해킹했습니다. 이는 마치 은행이 고객의 돈을 보관하는 금고의 보안을 외부 경비업체에 맡겼는데 해커들이 그 경비업체의 핵심 보안 관리자를 공략한 것과 같습니다.
해커들은 이 직원의 컴퓨터에서 아마존 클라우드 서비스(AWS) 접속 권한을 훔쳐내는 데 성공했고 이 권한을 이용해 세이프의 중앙 시스템(클라우드 서버)에 침입했습니다. 그러고 나서 해커들은 거래 승인 과정의 설정값을 교묘하게 변경해 바이빗 고객들의 자산을 자신들의 계좌로 빼돌릴 수 있었습니다. 이는 마치 경비업체의 감시 시스템을 조작하여 은행 금고에서 자금이 빠져나가는 것을 아무도 눈치채지 못하게 한 것과 같습니다. 사상 최대 규모의 코인 해킹 사건
이번 해킹으로 바이빗은 총 15억 달러에 달하는 암호화폐를 탈취당했습니다. 이는 역사상 최대 규모의 코인 해킹입니다. 바이빗은 72시간 만에 자금을 조달해 도난당한 자금을 충당하는 등 신속하게 대응했지만 이번 사건은 코인 업계에 큰 충격을 주었습니다.
미국 연방수사국(FBI) 등은 이 사건의 배후에 북한이 있다고 지목했습니다. 이번 해킹의 실행 방식과 도난 자금 처리 과정이 북한의 전형적인 패턴과 정확히 일치한다고 보았기 때문입니다. 북한 해커들은 주로 소셜 엔지니어링 기법을 활용하여 시스템에 침투한다고 합니다.
소셜 엔지니어링이란 기술적 취약점이 아닌 인간의 심리적 취약점을 공략하는 해킹 방식으로 채용 담당자나 개발자로 위장해 피해자가 악성 프로그램을 다운로드하거나 감염된 링크를 클릭하도록 속이는 것입니다. 바이빗 사례에서도 이와 유사하게 세이프 개발자의 컴퓨터를 먼저 해킹한 후 이를 발판으로 핵심 시스템에 접근했습니다.
도난 자금의 세탁 방식 역시 북한의 기존 패턴을 그대로 따르고 있다고 FBI 등은 보고 있습니다. 바이빗에서 탈취한 이더리움의 일부는 비트코인으로 전환되어 9000여 개의 서로 다른 지갑으로 분산되었습니다. 이는 추적을 어렵게 하기 위해 사용하는 전형적인 수법으로 탈취한 자금을 수천 개의 거래와 주소로 분할하여 여러 중개 지갑을 거치게 하고 다양한 코인으로 교환하는 방식입니다. 북한이 자주 이용하는 수법이라는 게 FBI 등의 시각입니다.
한 분석기업의 자료를 보면 북한은 2023년에 약 6억6000만 달러, 2024년에는 두 배 이상 증가한 약 13억4000만 달러어치의 코인을 47건의 해킹을 통해 탈취한 것으로 나타납니다. 이는 전 세계에서 도난당한 코인의 60% 이상에 해당하는 금액입니다. 해킹 코인 60%는 북한이 훔쳐갔다?FBI나 여러 수사기관의 분석대로 북한이 이 모든 코인 해킹 사건의 범인이라면 북한 해커들은 어떻게 이토록 뛰어난 ‘코인 도둑’이 된 걸까요?
영국의 이코노미스트는 최근 기사에서 북한의 사이버 역량은 수십 년에 걸친 노력의 결실이라고 분석했습니다. 북한의 첫 컴퓨터 전문 교육시설은 1980년대부터 설립되었으며 걸프전을 통해 현대 전쟁에서 네트워크 기술의 중요성을 인식하게 되었습니다. 수학에 재능 있는 학생들은 특별 학교에 배치되어 의무적인 농촌 노동에서 면제받았다는 증언도 있었습니다.
국가가 크게 무리하지 않아도 특출난 재주를 가진 이들을 직접 적재적소에 배치할 수 있는 체제의 특성도 한몫했을 거라는 관측이 나옵니다. 뛰어난 인재들에게 무엇을 하라고 지시할 수 있었다는 의미입니다. 2019년 국제 대학생 프로그래밍 경진대회에서 북한 대학팀은 8위를 차지하며 케임브리지, 하버드, 옥스퍼드, 스탠퍼드 대학을 앞서기도 했습니다.
유엔 안보리 제재위원회의 전문가 패널은 2023년 보고서에서 북한의 외화 수입 가운데 사이버 범죄 수익이 절반을 차지한다고 분석한 바 있습니다. 결국 핵개발에 따른 국제사회의 제재와 코로나19 팬데믹으로 인해 대외 무역에 제약을 받아온 북한의 상황에서 코인 해킹은 중요한 생명선이 되어주었다는 풀이도 나올 수 있겠습니다. 북한 입장에서는 해외 노동자 파견이나 불법 무역 같은 이전의 방식보다 훨씬 효율적이고 분명히 덜 위험할 것입니다.
북한 국적 해커의 신원이 밝혀졌다거나, 어디선가 코인 범죄로 북한 국적자가 체포됐다거나, 북한으로 코인이 유입됐다거나 하는 직접적인 증거가 드러난 적은 없습니다. 물론 북한도 이 같은 사실을 인정한 적이 없습니다. 그러나 블록체인 업계 전문가들은 앞서 언급한 패턴 분석 등 여러 기법을 근거로 북한을 지목합니다. 이렇다 할 반론이 나오지 않으면서 북한이 조직적으로 코인 해킹 범죄를 저지르고 있고 이 자금을 핵과 미사일 개발 등 다시 인류를 위협하는 데 쓰고 있을 거라는 관측은 아주 흔하게 들을 수 있게 됐습니다.
바이빗 사건에선 거론되지 않았지만 북한이 코인 해킹 사건의 배후로 지목되면 대체로 ‘라자루스’라는 이름이 등장합니다. 북한 정부와 연계된 해킹그룹으로 알려졌는데 최근 발표된 자료를 보면 라자루스는 현재 비트코인 약 1만3441개, 약 11억4000만 달러어치를 보유하고 있습니다. 이는 테슬라의 1만1509개보다 16% 더 많은 수치입니다. ‘북한 해킹’ 직접 증거는 나온 적이 없다
우연한 것인지 의도된 것인지 알 수 없지만 라자루스라는 명칭은 미국 시인의 이름과 일치합니다.
에마 라자루스는 19세기 유대계 시인으로 자유의 여신상 받침대에 새겨진 ‘새로운 거인(The New Colossus)’이라는 유명한 시를 지었습니다. 이 시에는 “지친 자, 가난한 자, 자유롭게 숨쉬기를 갈망하는 군중들을 내게 보내라”라는 유명한 구절이 있습니다. 미국의 이민자 환영 정신을 상징하는 작품입니다.
미국의 개방성과 자유를 상징하는 시인의 이름이 세계에서 가장 폐쇄적인 국가의 사이버 공격 조직 이름으로 사용된다는 점이 아이러니합니다.
과연 일련의 코인 범죄는 북한의 소행이라는 것이 입증될 수 있을까요? 코인 업계에 대해 우호적이고 김정은에 대해서도 서슴지 않고 ‘친구’라고 말하는 도널드 트럼프 대통령이라면 뭔가 할 수 있지 않을까 하는 엉뚱한 상상도 하게 됩니다.
물론 범죄 집단의 해킹 능력과 코인 세탁에 맞서 업계는 지금처럼 기술 보안 강화, 국제협력, 감시 체계 개선 등을 진행하는 한편 기술의 중립성과 책임의 경계를 명확히 하는 법적, 윤리적 논의를 지속해야 할 것입니다.
실제 상황이었습니다. 해커들은 디지털 금고 역할을 하는 외부 보관 서비스 기업인 세이프(Safe)의 직원 컴퓨터를 먼저 해킹했습니다. 이는 마치 은행이 고객의 돈을 보관하는 금고의 보안을 외부 경비업체에 맡겼는데 해커들이 그 경비업체의 핵심 보안 관리자를 공략한 것과 같습니다.
해커들은 이 직원의 컴퓨터에서 아마존 클라우드 서비스(AWS) 접속 권한을 훔쳐내는 데 성공했고 이 권한을 이용해 세이프의 중앙 시스템(클라우드 서버)에 침입했습니다. 그러고 나서 해커들은 거래 승인 과정의 설정값을 교묘하게 변경해 바이빗 고객들의 자산을 자신들의 계좌로 빼돌릴 수 있었습니다. 이는 마치 경비업체의 감시 시스템을 조작하여 은행 금고에서 자금이 빠져나가는 것을 아무도 눈치채지 못하게 한 것과 같습니다. 사상 최대 규모의 코인 해킹 사건
이번 해킹으로 바이빗은 총 15억 달러에 달하는 암호화폐를 탈취당했습니다. 이는 역사상 최대 규모의 코인 해킹입니다. 바이빗은 72시간 만에 자금을 조달해 도난당한 자금을 충당하는 등 신속하게 대응했지만 이번 사건은 코인 업계에 큰 충격을 주었습니다.
미국 연방수사국(FBI) 등은 이 사건의 배후에 북한이 있다고 지목했습니다. 이번 해킹의 실행 방식과 도난 자금 처리 과정이 북한의 전형적인 패턴과 정확히 일치한다고 보았기 때문입니다. 북한 해커들은 주로 소셜 엔지니어링 기법을 활용하여 시스템에 침투한다고 합니다.
소셜 엔지니어링이란 기술적 취약점이 아닌 인간의 심리적 취약점을 공략하는 해킹 방식으로 채용 담당자나 개발자로 위장해 피해자가 악성 프로그램을 다운로드하거나 감염된 링크를 클릭하도록 속이는 것입니다. 바이빗 사례에서도 이와 유사하게 세이프 개발자의 컴퓨터를 먼저 해킹한 후 이를 발판으로 핵심 시스템에 접근했습니다.
도난 자금의 세탁 방식 역시 북한의 기존 패턴을 그대로 따르고 있다고 FBI 등은 보고 있습니다. 바이빗에서 탈취한 이더리움의 일부는 비트코인으로 전환되어 9000여 개의 서로 다른 지갑으로 분산되었습니다. 이는 추적을 어렵게 하기 위해 사용하는 전형적인 수법으로 탈취한 자금을 수천 개의 거래와 주소로 분할하여 여러 중개 지갑을 거치게 하고 다양한 코인으로 교환하는 방식입니다. 북한이 자주 이용하는 수법이라는 게 FBI 등의 시각입니다.
한 분석기업의 자료를 보면 북한은 2023년에 약 6억6000만 달러, 2024년에는 두 배 이상 증가한 약 13억4000만 달러어치의 코인을 47건의 해킹을 통해 탈취한 것으로 나타납니다. 이는 전 세계에서 도난당한 코인의 60% 이상에 해당하는 금액입니다. 해킹 코인 60%는 북한이 훔쳐갔다?FBI나 여러 수사기관의 분석대로 북한이 이 모든 코인 해킹 사건의 범인이라면 북한 해커들은 어떻게 이토록 뛰어난 ‘코인 도둑’이 된 걸까요?
영국의 이코노미스트는 최근 기사에서 북한의 사이버 역량은 수십 년에 걸친 노력의 결실이라고 분석했습니다. 북한의 첫 컴퓨터 전문 교육시설은 1980년대부터 설립되었으며 걸프전을 통해 현대 전쟁에서 네트워크 기술의 중요성을 인식하게 되었습니다. 수학에 재능 있는 학생들은 특별 학교에 배치되어 의무적인 농촌 노동에서 면제받았다는 증언도 있었습니다.
국가가 크게 무리하지 않아도 특출난 재주를 가진 이들을 직접 적재적소에 배치할 수 있는 체제의 특성도 한몫했을 거라는 관측이 나옵니다. 뛰어난 인재들에게 무엇을 하라고 지시할 수 있었다는 의미입니다. 2019년 국제 대학생 프로그래밍 경진대회에서 북한 대학팀은 8위를 차지하며 케임브리지, 하버드, 옥스퍼드, 스탠퍼드 대학을 앞서기도 했습니다.
유엔 안보리 제재위원회의 전문가 패널은 2023년 보고서에서 북한의 외화 수입 가운데 사이버 범죄 수익이 절반을 차지한다고 분석한 바 있습니다. 결국 핵개발에 따른 국제사회의 제재와 코로나19 팬데믹으로 인해 대외 무역에 제약을 받아온 북한의 상황에서 코인 해킹은 중요한 생명선이 되어주었다는 풀이도 나올 수 있겠습니다. 북한 입장에서는 해외 노동자 파견이나 불법 무역 같은 이전의 방식보다 훨씬 효율적이고 분명히 덜 위험할 것입니다.
북한 국적 해커의 신원이 밝혀졌다거나, 어디선가 코인 범죄로 북한 국적자가 체포됐다거나, 북한으로 코인이 유입됐다거나 하는 직접적인 증거가 드러난 적은 없습니다. 물론 북한도 이 같은 사실을 인정한 적이 없습니다. 그러나 블록체인 업계 전문가들은 앞서 언급한 패턴 분석 등 여러 기법을 근거로 북한을 지목합니다. 이렇다 할 반론이 나오지 않으면서 북한이 조직적으로 코인 해킹 범죄를 저지르고 있고 이 자금을 핵과 미사일 개발 등 다시 인류를 위협하는 데 쓰고 있을 거라는 관측은 아주 흔하게 들을 수 있게 됐습니다.
바이빗 사건에선 거론되지 않았지만 북한이 코인 해킹 사건의 배후로 지목되면 대체로 ‘라자루스’라는 이름이 등장합니다. 북한 정부와 연계된 해킹그룹으로 알려졌는데 최근 발표된 자료를 보면 라자루스는 현재 비트코인 약 1만3441개, 약 11억4000만 달러어치를 보유하고 있습니다. 이는 테슬라의 1만1509개보다 16% 더 많은 수치입니다. ‘북한 해킹’ 직접 증거는 나온 적이 없다
우연한 것인지 의도된 것인지 알 수 없지만 라자루스라는 명칭은 미국 시인의 이름과 일치합니다.
에마 라자루스는 19세기 유대계 시인으로 자유의 여신상 받침대에 새겨진 ‘새로운 거인(The New Colossus)’이라는 유명한 시를 지었습니다. 이 시에는 “지친 자, 가난한 자, 자유롭게 숨쉬기를 갈망하는 군중들을 내게 보내라”라는 유명한 구절이 있습니다. 미국의 이민자 환영 정신을 상징하는 작품입니다.
미국의 개방성과 자유를 상징하는 시인의 이름이 세계에서 가장 폐쇄적인 국가의 사이버 공격 조직 이름으로 사용된다는 점이 아이러니합니다.
과연 일련의 코인 범죄는 북한의 소행이라는 것이 입증될 수 있을까요? 코인 업계에 대해 우호적이고 김정은에 대해서도 서슴지 않고 ‘친구’라고 말하는 도널드 트럼프 대통령이라면 뭔가 할 수 있지 않을까 하는 엉뚱한 상상도 하게 됩니다.
물론 범죄 집단의 해킹 능력과 코인 세탁에 맞서 업계는 지금처럼 기술 보안 강화, 국제협력, 감시 체계 개선 등을 진행하는 한편 기술의 중립성과 책임의 경계를 명확히 하는 법적, 윤리적 논의를 지속해야 할 것입니다.
김외현 비인크립토 한국·일본 리드