2조원 이더리움 훔쳐간 北 해킹그룹…수법은 ‘서명 위조’

“콜드월렛도 안전지대 아냐…정상적 이체처럼 인터페이스 조작”
북 정찰총국 라자루스 배후…수상한 거래 앱·첨부파일 조심해야

ⓒ News1 DB

글로벌 3위 가상자산 거래소 바이비트에서 2조 원(14억 6000만 달러, 피해 당시 기준) 규모 이더리움을 탈취한 북한 해킹그룹은 서명을 위조하는 방식을 사용했다.

배후는 북한 정찰총국 산하 해킹그룹 라자루스가 지목된다.

안전하다고 여겨진 오프라인 지갑(콜드월렛)에서 피해가 발생해 충격이 컸다. 트랜잭션(거래 기록) 서명을 꼼꼼히 확인하는 개인 예방도 중요하지만, 다중서명(멀티시그) 시스템 강화가 시급하다는 지적이다.

25일 보안업계에 따르면 자금 탈취는 콜드월렛에서 온라인 지갑(웜 월렛)으로 자금이 이동하는 과정에서 이뤄졌다.

바이비트는 엑스(옛 트위터)를 통해 “거래 주소가 정상적으로 보였지만 실제론 서명 인터페이스가 위조됐다. 스마트 거래 내부 로직이 변경된 것”이라고 밝혔다.

바이트가 쓰는 세이프 사의 멀티시그 시스템과 URL이 조작되면서 참여자들이 트랜잭션 속 숨겨진 코드 변조를 알아차리지 못했다. 이들이 일상적인 과정에 익숙해져 서명을 제대로 확인하지 않은 점도 지적됐다.

온체인(블록체인 데이터 내역) 분석가 ZachXBT는 해커의 테스트 수행(트랜잭션)과 지갑 주소를 추적, 사건이 라자루스와 연관됐다고 분석했다. 블록체인 리서치업체 TRM 랩스도 해커 주소가 과거 북한 해킹과 상당 부분 겹친다고 보고했다.

실제로 TRM랩스 보고서에 따르면 지난해 전 세계 가상자산 탈취액 3분의 1은 북한 해커 소행으로 추정된다. 한국개발연구원(KDI)에 따르면 북한은 자금 세탁을 통한 대북제재 우회, 활동자금 확보를 목적으로 암호화폐를 탈취하고 있다.

유명 화이트해커 박세준 티오리 대표는 “공격자가 추적 교란을 위해 북한과 연루된 주소를 쓰기도 해 무조건 북한 소행으로 단정지을 수는 없다”면서도 “느슨해져 있던 웹 3.0 및 인프라 보안 경각심을 키운 사건”이라고 평했다.

이어 “여러 명이 참여하는 승인 절차조차 해커에게 악용될 수 있어 다중 서명 콜드월렛도 완벽하게 안전한 게 아니다”며 “트랜잭션 서명 시 세부 내용을 꼼꼼히 확인해야 한다”고 당부했다.

북한 정찰총국는 이 밖에도 시트린 슬리트, 안다리엘 등 해킹조직을 거느리고 있다.

이들은 거래 인터페이스 조작 외에도 가짜 암호화폐 플랫폼, 구직 신청서 등을 배포해 피싱을 시도한다. 또 사용자에게 악성코드가 담긴 암호화폐 지갑이나 거래 애플리케이션(앱)을 내려받도록 유도한다.

이메일에 첨부된 수상한 압축 파일·URL을 조심해야 하는 이유다.

지난해 시트린 슬리트는 구글 크롬이 미처 패치못한 취약점 ‘제로데이’를 틈타 원격 코드 실행(RCE) 공격을 감행하기도 했다. 공격을 분석한 마이크로소프트(MS)는 암호화폐 탈취가 목적이었다고 분석했다.

MS는 “시트린 슬리트는 ‘애플제우스’라는 자체 개발 트로이 악성코드(멀웨어)로 공격 대상을 감염시킨 뒤 가상자산 접근·제어에 필요한 정보를 수집한다”며 “사용자는 최신 버전 크롬으로 업데이트해야 한다”고 당부했다.

(서울=뉴스1)