북한 위협에 대한 TRM
사이버 활동 및 가상자산 현황 업데이트
2017년 이후 평양 연계 위협 행위자들에게 약 30억 달러 상당의 가상자산 . TRM Labs 연구에 따르면 2023년 북한과 연계된 해커들은 약 7억 달러 상당의 가상자산 탈취했다. TRM Labs에 따르면, 2023년에는 북한과 연계된 해커들이 약 7억 달러 상당의
지난해 가상자산 탈취된 자금의 3분의 1 이상이 북한에 의한 것이었으며, 이는 2022년 8억 5천만 달러 규모에서 약 20% 감소한 수치임에도 불구하고다. 2023년 북한이 저지른 해킹 공격으로 인한 평균 피해액은 다른 행위자들의 공격보다 10배 더 컸다.
.png)
지난 2년간만 약 15억 달러가 탈취된 북한 해킹 능력은 기업과 정부에 지속적인 경계와 혁신을 요구할 뿐만 아니라, 북한 사이버 행위자들이 움직이고 탈취 자금을 세탁하는 방식을 깊이 이해할 것을 필요로 한다.
{{premium-content_chapter-divider}}
북한 해커들은 다중 체인 가상자산 표적, 기법 및 자금 세탁 패턴을 지속적으로 진화시키고 있다
TRM은 북한 행위자들이 피싱 및 공급망 공격을 수행하고, 개인 키나 시드 문구 유출을 수반하는 인프라 해킹을 감행하는 것을 관찰했습니다. 이러한 유형의 공격은 대개 기존의 사이버 작전을 통해 가능해지며, 공격자들이가상자산 탈취하여 자신들이 통제하는가상자산 거래 수 있게 합니다.
2023년 북한 요원들은 일반적으로 가상자산 세탁하기 위해 단계별 절차를 따랐다. TRM의 온체인 분석에 따르면, 자금은 보통 USDT나 USDC에서 이더리움 같은 네이티브 자산으로 즉시 전환되었다. 이는 중앙 발행 토큰인 USDT와 USDC가 이더리움 같은 탈중앙화 네이티브 화폐와 달리 동결될 수 있기 때문으로 보인다. 이후 이 자금은 수주 또는 수개월 동안 동결 상태로 유지되는 경우가 많았다. 이러한 지연은 북한 해커 집단이 지난해 대규모 자금을 탈취한 결과, 세탁이 필요한 자산이 누적된 데 따른 것으로 보인다.
북한 해커들이 본격적으로 자금 세탁 과정을 시작하면, 잠긴 자산들은 스왑 서비스를 통해 신속히 이동된 후 크로스체인 브리지를 통해 유출됩니다. 이 자금의 첫 번째 목적지는 거의 항상 비트코인이다. 2022년 말까지 이러한 크로스체인 이동에 선호되던 브릿지는 렌 브릿지(Ren Bridge)였다. 그러나 렌은 FTX 전액 출자한 FTX 붕괴 이후 운영이 중단되었다... 2023년 상반기 내내 북한 해커들은 비트코인으로 거래 위해 아발란체 브릿지(Avalanche Bridge)를 매우 선호했는데, 이는 TRM의 최근 북한 가상자산 관련 보고서에서 설명된 바와 같다.
2023년 하반기 북한 해커들은 사용하는 브릿지 수단을 다양화하기 시작했다. 또한 차단 조치를 회피하려는 의도로 개별 브릿지 거래의 금액을 줄이는 동시에 거래 속도를 높이기 시작했다.
{{premium-content_chapter-divider}}
북한 해커들은 진화하는 믹서 및 장외 중개업체 목록을 활용했다
해킹된 자금은 비트코인으로 전환된 후 소수의 비트코인 믹싱 서비스로 유입된다. 2023년 대부분 기간 동안 북한이 선호한 믹싱 서비스는 신바드(Sinbad)였다. 그러나 북한 해커들이 브리징 서비스를 다양화한 것처럼, 연중 진행되면서 다른 믹서들도 사용하기 시작했다. 이 서비스에는 요믹스(YoMix), 와사비 월렛(Wasabi Wallet), 크립토믹서(CryptoMixer) 등이 포함되었다.
계정 기반 블록체인에서 북한 해커들은 2023년 여러 믹싱 서비스를 활용했으며, 특히 1월 하모니 브리지 해킹 수익을 세탁하기 위해 레일건(Railgun)을 주로 사용했다. 북한 해커들은 또한 트론 블록체인 기반 USDT 익명화 서비스인 ZKWrapper를 지속적으로 사용했습니다. 2023년 말 무렵, TRM은 북한 해커들이 OFAC(해외재산관리국)의 제재 대상 지정 이후 거의 사용하지 않던 토네이도 캐시(Tornado Cash) 서비스로 복귀하는 모습도 관찰했습니다.
상기 설명된 브리징 및 혼합 과정을 거친 후, 북한 해커들은 일반적으로 자금을 USDT로 전환하여 트론 블록체인으로 이체함으로써 자금 세탁 과정을 마무리해왔다. 암호화폐 사용이 명목상 금지된 중국 사용자들 사이에서 인기를 얻고 있는 트론 블록체인은 비공식 금융 채널을 통해 중국 고객을 대상으로 하는 다수의 고액 거래 중개업체들이 포진해 있다.
{{premium-content_chapter-divider}}
북한의 2023년 아토믹 월렛 해킹 사건 분석
2023년 북한의 Atomic Wallet 해킹 사건은 북한의 가상자산 수법의 진화와 정교함을 보여주는 사례이다.
2023년 6월 3일, 북한 해커들이 비수탁형 지갑 서비스 제공업체인 Atomic Wallet 사용자를 표적으로 삼았습니다. 이 해킹으로 인해 4,100개 이상의 개별 가상자산 약 1억 달러 상당의 가상자산 도난당했습니다. 이 공격은 피싱 또는 공급망 공격을 통해 수행된 것으로 보입니다.
해커들은 이더리움, 트론, 비트코인, XRP, 도지코인, 스텔라, 라이트코인 블록체인에서 피해자들의 지갑을 털어 자금을 자신들이 통제하는 새로 생성된 주소로 보냈다. ERC-20 및 TRC-20 토큰은 탈중앙화 거래소를 통해 원생 자산(이더 및 트론)으로 전환된 후, 자동화 소프트웨어 프로그램, 믹서, 크로스체인 스왑 등 다양한 복잡한 기법을 통해 세탁되었다.
원자 지갑 해킹의 주요 단계는 아래 TRM Forensics 시각화되어 있습니다:
ETH가 여러 중개 계층을 거쳐 서로 얽힌 경로로 프로그램적으로 세탁된 후, 92개의 신규 이더리움 주소로 유출되는 것을 보여줍니다. 이후 WETH는 아발란체 블록체인으로 브릿징된 후 WBTC로 스왑되고, 다시 비트코인 블록체인으로 브릿징됩니다.
TRM의 아래 분석에서 보듯이, ETH 및 BSC 자산은 동결 불가능한 네이티브 자산으로 스왑된 후 보관되었습니다. Polygon/MATIC 자금은 Squid Router를 통해 스왑 및 브릿징되었습니다. 이후 일반적으로 MATIC에서 USDT 또는 USDC로의 추가 스왑을 거쳐 Avalanche로 이동되었습니다. Avalanche에서는 Wrapped BTC로 스왑된 후 Bitcoin으로 브릿징되었으며, 이후 Tron에서 USDT로 청산될 때까지 해당 자금은 Bitcoin에 보관되었습니다. 이러한 유형의 활동은 최근 라자루스 그룹의 공격에서 흔히 관찰되는 특징입니다.
북한은 속도를 최우선으로 삼을 것이며 도구들은 계속해서 개선될 것이다
TRM은 거래 모니터링 도구가 지속적으로 지연 시간을 줄여감에 따라 북한 해커들이 익명성보다 속도와 자동화를 계속 우선시할 것으로 평가한다. 이 해커들은 독특한 환경에서 활동한다: 거의 전적으로 북한 내부 또는 우호적인 제3국에 기반을 두고 있기 때문에 체포나 인도될 위험이 거의 없다. 따라서 그들은 다른 해커들이 필요로 하는 수준의 익명성을 확보할 동기가 거의 없다.
2023년 상반기 북한 해커들의 활동 수준이 상대적으로 낮은 이유는 완전히 명확하지 않다. 그러나 가상자산 하락과 로닌(Ronin) 및 하모니 브리지(Harmony Bridge) 해킹 사건으로 인한 대규모 자금 적체 현상이 영향을 미쳤을 가능성이 크다. 폴로니엑스와 HTX 브릿지 해킹 사건, 그리고 북한 해커들의 소행으로 추정되는 오빗 브릿지 해킹 사건에서 발생한 잔여 자금 유입이 2024년 상반기 해킹 활동을 둔화시킬 수 있다. 그러나 2023년과 마찬가지로 하반기에는 해킹 활동이 가속화될 가능성이 있다.
북한 해커들이 사용하는 기법은 법 집행 기관의 발전에 대응해 진화하고 있다. 회원국들의 지속적인 조치—예를 들어 믹싱 서비스에 대한 추가 제재 가능성, 브릿지 및 스왑 서비스를 겨냥한 규제, 또는 이러한 서비스나 혼합 자금을 현금화하는 중개업자에 대한 잠재적 형사 수사 등—는 추가적인 적응을 촉발할 가능성이 높다.
{{premium-content_chapter-divider}}
블록체인 인텔리전스 북한 탈취 자금 블록체인 인텔리전스 역할
북한의 자금 세탁 방법이 진화함에 따라 수사관들이 의존하는 도구들도 진화해야 한다.
블록체인 인텔리전스 오픈소스 및 독점 위협 인텔리전스로 강화된 블록체인 데이터 – 가상자산 수사관들은 가상자산 내 자금 흐름을 추적하여 가상자산 위협 행위자를 가상자산 북한이 탈취 및 세탁한 자금을 포함한 불법 자금을 압수할 가상자산 .
TRM은 블록체인 인텔리전스 제공업체입니다. 증가하는 블록체인의 수와 불법 행위자들의 활용에 대응하여, TRM은 수사관들이 단일 시각화 화면에서 여러 블록체인과 자산을 가로지르는 자금 흐름을 추적할 수 있도록 크로스체인 분석 개념을 도입했습니다. TRM은 또한 브릿지 및 기타 서비스를 통해 블록체인 간 자금 흐름을 자동으로 추적하는 기능도 개발했습니다.
{{premium-content_chapter-divider}}
정보 TRM Labs
TRM Labs 는 법 집행 기관과 국가 보안 기관, 금융 기관, 가상자산 비즈니스가 가상자산 사기 및 금융 범죄를 탐지, 조사, 차단할 수 있도록 블록체인 분석 솔루션을 제공합니다. TRM의 블록체인 인텔리전스 플랫폼에는 자금의 출처와 목적지를 추적하고, 불법 활동을 식별하고, 사례를 구축하고, 위협에 대한 운영 상황을 파악하는 솔루션이 포함되어 있습니다. TRM은 전 세계 주요 기관과 기업으로부터 신뢰를 받고 있으며, 이들은 보다 안전하고 안전한 가상자산 생태계를 구현하기 위해 TRM을 이용하고 있습니다. TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업, 데이터 과학 분야에서 채용을 진행하고 있습니다.
자세한 내용은 www.trmlabs.com을 방문하세요.
