
보고서 분석: 북한 해커, 피싱 조직 및 자금세탁 도구 분석
글: 만무 보안 팀
지난 글에서는 2023 블록체인 보안 동향을 주로 다뤘으며, 이번 글은 2023년 북한 해커 그룹 라자루스(Lazarus Group), 주요 피싱 조직 및 일부 자금세탁 도구의 활동에 초점을 맞추고 있습니다.
라자루스 그룹(Lazarus Group)
2023년 동향
2023년 공개된 정보에 따르면, 6월까지 북한 해커 라자루스 그룹이 관련된 중대한 암호화폐 절도 사건은 단 한 건도 보고되지 않았습니다. 체인 상 활동을 분석해 보면, 북한 해커 라자루스 그룹은 주로 2022년에 훔친 암호화폐 자금을 정리하는 데 집중하고 있었으며, 여기에는 2022년 6월 23일 하모니(Harmony) 크로스체인 브릿지 공격으로 인해 약 1억 달러가 유출된 사건의 자금도 포함됩니다.
그러나 이후 드러난 사실에 따르면, 북한 해커 라자루스 그룹은 2022년에 훔친 자금을 정리하는 동시에 다른 활동도 게을리하지 않았으며, 오히려 어둠 속에서 잠복하며 APT(Advanced Persistent Threat) 공격을 은밀히 수행했습니다. 이러한 활동은 6월 3일부터 시작된 암호화폐 업계의 '암흑의 101일'을 직접적으로 초래했습니다.
'암흑의 101일' 동안 총 5개 플랫폼이 해킹되어 3억 달러 이상의 자산이 유출되었으며, 피해 대상은 대부분 중심화된 서비스 플랫폼이었습니다.

9월 12일경, 만무는 협력사와 함께 라자루스 그룹이 암호화폐 산업을 대상으로 대규모 APT 공격을 감행하고 있다는 사실을 발견했습니다. 공격 수법은 다음과 같습니다. 먼저 신원을 위조하여 실명 인증을 통과하고 실제 고객처럼 등록한 후 입금합니다. 이후 이 고객이라는 신분을 이용해 여러 공식 담당자와 고객(공격자) 간의 커뮤니케이션 시점에서 Mac 또는 Windows용 맞춤형 트로이 목마를 정교하게 배포하여 권한을 획득한 후 내부 네트워크로 확산되며 장기간 잠복함으로써 자금을 탈취하는 것입니다.

미국 FBI 역시 암호화폐 생태계에서 발생한 중대한 절도 사건들을 주시하며, 보도자료를 통해 북한 해커 라자루스 그룹이 개입했다고 공식 발표했습니다. 아래는 FBI가 2023년에 발표한 북한 해커 라자루스 그룹 관련 보도자료입니다:
-
1월 23일, FBI는 (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 보도자료를 통해 라자루스 그룹이 하모니 해킹 사건의 책임이 있다고 확인했습니다.
-
8월 22일, 미국 연방수사국(FBI)은 공지를 통해 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 북한 해커 조직이 Atomic Wallet, Alphapo 및 CoinsPaid를 해킹해 총 1.97억 달러 상당의 암호화폐를 훔쳤다고 밝혔습니다.
-
9월 6일, 미국 연방수사국(FBI)은 보도자료를 통해 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 라자루스 그룹이 스테이크닷컴(Stake.com) 암호화폐 도박 플랫폼에서 4100만 달러를 탈취한 사건에 책임이 있다고 확인했습니다.
자금세탁 방식 분석
저희 분석 결과에 따르면, 북한 해커 라자루스 그룹의 자금세탁 방식은 시간이 지남에 따라 계속 진화하고 있으며, 일정 기간마다 새로운 세탁 수법이 등장하고 있습니다. 아래 표는 자금세탁 방식 변화의 시간표입니다:

조직 프로파일링 분석
InMist 정보망 협력사의 강력한 정보 지원을 바탕으로, 만무 AML 팀은 관련 절도 사건들과 해커 조직 라자루스 그룹의 데이터를 추적 분석하여 라자루스 그룹의 일부 프로파일을 도출했습니다:
-
주로 유럽인, 터키인의 신분을 위장에 사용함.
-
확인된 수십 개의 IP 정보, 수십 개의 이메일 정보 및 부분적으로 익명화된 신원 정보:
-
111.*.*.49
-
103.*.*.162
-
103.*.*.205
-
210.*.*.9
-
103.*.*.29
-
103.*.*.163
-
154.*.*.10
-
185.*.*.217
월렛 드레이나(Wallet Drainers)
참고: 본 소절은 Scam Sniffer가 작성하였으며, 이 자리에서 감사를 전합니다.
개요
월렛 드레이나는 암호화폐 관련 악성 소프트웨어로서, 지난 1년간 큰 '성공'을 거두었습니다. 이러한 소프트웨어는 피싱 웹사이트에 배포되어 사용자가 악성 트랜잭션에 서명하도록 유도함으로써 암호화폐 지갑의 자산을 훔칩니다. 이러한 피싱 활동은 다양한 형태로 일반 사용자들을 지속적으로 공격하며, 많은 사람들이 무의식적으로 악성 트랜잭션에 서명한 후 막대한 재산 손실을 입고 있습니다.
피해 통계

지난 1년간 Scam Sniffer는 월렛 드레이나가 약 32만 명의 피해자로부터 약 2.95억 달러의 자산을 훔친 것을 감지했습니다.
피해 추세

특히 3월 11일 하루에만 약 700만 달러가 유출되었습니다. 이는 대부분 USDC 환율 변동으로 인해 Circle을 사칭한 피싱 사이트에 접근했기 때문이며, 또한 3월 24일경 아비트럼(Arbitrum) 디스코드가 해킹되고 에어드랍이 예정되면서 피해가 급증했습니다.
각각의 피해 증가 피크는 항상 관련 집단 사건과 함께 나타납니다. 에어드랍이거나 해킹 사건일 수 있습니다.
주목할 만한 월렛 드레이나

ZachXBT가 Monkey Drainer를 폭로한 후, 이들은 6개월간 활동하다가 은퇴를 선언했으며, 이후 Venom이 그들의 대부분의 고객을 인수했습니다. 이후 MS, Inferno, Angel, Pink 등도 3월경 등장하였습니다. Venom이 4월경 서비스를 종료하면서 대부분의 피싱 조직들이 다른 서비스로 전환했습니다. 드레이나 수수료가 20%임을 고려하면, 이들은 서비스 판매를 통해 최소 4700만 달러 이상의 수익을 얻었습니다.
월렛 드레이나 추세

추세 분석을 통해 피싱 활동이 꾸준히 증가하고 있음을 알 수 있습니다. 각 드레이나가 은퇴한 후에도 새로운 드레이나가 이를 대체하고 있는데, 최근 Inferno가 은퇴를 선언한 후 Angel이 새로운 대체자로 부상하고 있습니다.
피싱 활동은 어떻게 시작되는가?

피싱 웹사이트의 트래픽 유입 방식은 대략적으로 다음과 같은 몇 가지로 나눌 수 있습니다:
-
해킹 공격
-
공식 프로젝트 디스코드 및 트위터 해킹
-
공식 프로젝트 프론트엔드 또는 사용하는 라이브러리 공격
-
자연 유입
-
NFT 또는 토큰 에어드랍
-
디스코드 링크 만료 후 도메인 점유
-
트위터 스팸 알림 및 댓글
-
유료 유입
-
구글 검색 광고
-
트위터 광고
해킹 공격은 영향 범위가 넓지만, 보통 신속히 대응되기 때문에 일반적으로 10~50분 이내에 커뮤니티 전체가 반응합니다. 반면 에어드랍, 자연 유입, 유료 광고, 디스코드 링크 만료 도메인 점유 등의 방법은 더 잘 드러나지 않아 쉽게 의심을 받지 않습니다. 그 외에도 개인에게 직접 메시지를 보내는 타깃형 피싱도 존재합니다.
흔한 피싱 서명 패턴

다양한 자산 유형에 따라 다른 방식으로 악성 피싱 서명을 유도하며, 위는 자산별로 자주 사용되는 피싱 서명 방식들입니다. 드레이나는 피해자의 지갑에 보유된 자산 유형에 따라 어떤 악성 서명을 유도할지를 결정합니다.
GMX의 signalTransfer를 이용해 Reward LP 토큰을 훔친 사례에서 볼 수 있듯이, 특정 자산에 대한 정교한 연구를 이미 진행하고 있습니다.
스마트 계약 활용 확대
1) 멀티콜(Multicall)

Inferno를 시작으로, 드레이나는 스마트 계약 기술을 더 많이 활용하기 시작했습니다. 예를 들어 수수료를 두 번의 트랜잭션으로 나누어 처리해야 할 경우, 두 번째 트랜잭션 속도가 느릴 경우 피해자가 권한을 미리 취소할 수 있습니다. 따라서 효율성을 높이기 위해 멀티콜을 사용하여 자산 이전을 더욱 효과적으로 수행합니다.
2) CREATE2 & CREATE

또한 일부 지갑의 보안 검증을 우회하기 위해 create2 또는 create를 사용해 일시적인 주소를 동적으로 생성하기 시작했습니다. 이는 지갑의 블랙리스트 기능을 무력화시키며 피싱 분석 난이도를 높입니다. 서명하지 않으면 자산이 어디로 이전되는지 알 수 없으며, 일시적 주소는 분석 가치가 없습니다. 이는 작년과 비교해 큰 변화입니다.
피싱 웹사이트

피싱 웹사이트 수의 추세를 분석하면 매달 피싱 활동이 꾸준히 증가하고 있음을 알 수 있으며, 이는 안정적인 월렛 드레이나 서비스와 밀접한 관련이 있습니다.

위는 피싱 웹사이트에서 주로 사용하는 도메인 등록업체들입니다. 서버 주소를 분석한 결과, 대부분 Cloudflare를 사용해 실제 서버 주소를 숨기고 있습니다.
자금세탁 도구
Sinbad
Sinbad은 2022년 10월 5일 설립된 비트코인 믹서로, 거래 내역을 모호하게 만들어 체인 상 자금 흐름을 숨깁니다.
미국 재무부는 Sinbad를 "가상자산 믹서이며, OFAC가 지정한 북한 해커 조직 라자루스 그룹의 주요 자금세탁 도구"라고 설명했습니다. Sinbad는 Horizon Bridge와 Axie Infinity 해킹 사건의 자금을 처리했으며, 제재 회피, 마약 밀매, 아동 성 학대 자료 구매, 다크웹 시장에서의 기타 불법 거래와 관련된 자금도 이동시켰습니다.

Alphapo 해킹 사건(라자루스 그룹)의 범죄자는 자금세탁 과정에서 Sinbad를 사용했으며, 다음 거래가 그 예입니다:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash

(https://dune.com/misttrack/mixer-2023)
Tornado Cash는 완전 탈중앙화된 비관리형 프로토콜로, 출처 주소와 목적지 주소 간의 체인 상 연결을 차단함으로써 거래 프라이버시를 향상시킵니다. 프라이버시 보호를 위해 Tornado Cash는 스마트 계약을 사용하여 하나의 주소에서 ETH 및 기타 토큰을 예치받고, 다른 주소에서 인출할 수 있도록 합니다. 즉, 송신 주소를 숨긴 상태로 ETH 및 기타 토큰을 원하는 주소로 보낼 수 있게 됩니다.
2023년 사용자들은 Tornado Cash에 총 342,042 ETH(약 6.14억 달러)를 예치했으며, 총 314,740 ETH(약 5.67억 달러)를 인출했습니다.
eXch

(https://dune.com/misttrack/mixer-2023)
2023년 사용자들은 eXch에 총 47,235 ETH(약 9014만 달러)를 예치했으며, ERC20 스테이블코인 25,508,148개(약 2550만 달러)를 예치했습니다.
Railgun
Railgun은 zk-SNARKs 암호 기술을 활용하여 거래를 완전히 비공개로 만듭니다. Railgun은 사용자의 토큰을 자체 프라이버시 시스템 내에서 'shielding' 처리함으로써 모든 거래가 블록체인 상에서 Railgun 계약 주소에서 발송된 것으로 표시되도록 합니다.
2023년 초, 미국 연방수사국(FBI)은 북한 해커 조직 라자루스 그룹이 하모니의 Horizon Bridge에서 훔친 6000만 달러 이상의 자금을 정리하기 위해 Railgun을 사용했다고 밝혔습니다.
결론
본문은 북한 해커 라자루스 그룹의 2023년 동향을 소개하며, 만무 보안 팀은 해당 해커 그룹을 지속적으로 모니터링하고 있으며, 그들의 활동 및 자금세탁 방식에 대해 분석하고 프로파일을 도출했습니다. 2023년 피싱 조직들의 활동이 기승을 부리며 블록체인 업계에 막대한 자금 손실을 초래했으며, 이러한 조직들의 행동은 '이어달리기' 특성을 보이고 있어 지속적이고 대규모의 공격이 업계 보안에 큰 도전 과제가 되고 있습니다. 이 자리에서 Web3 반사기 플랫폼 Scam Sniffer가 월렛 드레이나 피싱 조직에 대한 정보를 제공한 데 감사드립니다. 이 내용은 그들의 운영 방식과 수익 구조를 이해하는 데 중요한 참고 자료가 될 것입니다. 마지막으로, 해커들이 주로 사용하는 자금세탁 도구들에 대해서도 소개하였습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












