
역사상 가장 대담한 암호화폐 절도 조직을 추적하다, 해커 그룹 라자루스 그룹(Lazarus Group)의 자금세탁 분석
글: Beosin
이전에 로이터 통신이 입수한 유엔 기밀 보고서에 따르면, 북한 해커 그룹 라자루스 그룹(Lazarus Group)은 작년 한 암호화폐 거래소에서 자금을 훔친 후 올해 3월 가상자산 플랫폼 Tornado Cash를 통해 1억 4750만 달러를 세탁했다.
감시단은 이전에 제출한 문서에서 유엔 안보리 제재위원회에 2017년부터 2024년까지 발생한 암호화폐 회사 대상 의심되는 북한 해킹 공격 97건(약 36억 달러 규모)을 조사 중이라고 밝혔다. 여기에는 작년 말 HTX 암호화폐 거래소에서 1억 4750만 달러가 도난당하고 올해 3월 세탁을 완료한 사건도 포함된다.
미국은 2022년 Tornado Cash를 제재했으며, 2023년에는 공동 설립자 2명이 10억 달러 이상의 자금세탁을 도운 혐의로 기소됐는데, 여기에는 북한 관련 사이버 범죄 조직인 라자루스 그룹도 포함됐다.
암호화폐 수사관 ZachXBT의 조사에 따르면, 라자루스 그룹은 2020년 8월부터 2023년 10월까지 2억 달러 상당의 암호화폐를 법정통화로 세탁했다.
사이버 보안 분야에서 라자루스 그룹은 오랫동안 대규모 사이버 공격과 금융 범죄를 자행한 것으로 지목돼 왔다. 그들의 표적은 특정 산업이나 지역에 국한되지 않고 전 세계적으로 확대되며, 은행 시스템부터 암호화폐 거래소, 정부 기관에서 민간 기업에 이르기까지 광범위하다. 아래에서는 주요 공격 사례들을 중심으로 라자루스 그룹이 어떻게 복잡한 전략과 기술 수단을 활용해 이러한 놀라운 공격을 성공적으로 수행했는지 분석해본다.
라자루스 그룹, 사회공학 및 피싱 공격 활용
이 사례는 유럽 관련 언론 보도에 근거한 것으로, 라자루스 그룹은 이전에 유럽과 중동의 군사·항공우주 기업들을 표적으로 삼아 LinkedIn 등의 플랫폼에 채용 광고를 게재하며 직원들을 속였다. 구직자들에게 실행 파일이 포함된 PDF를 다운로드하도록 요구한 후 피싱 공격을 실행한 것이다.
사회공학과 피싱 공격은 모두 심리적 조작을 이용해 피해자가 경계심을 늦추고 링크 클릭이나 파일 다운로드와 같은 행동을 하도록 유도함으로써 보안을 위협하는 것을 목표로 한다.
그들의 악성 소프트웨어는 공격자가 피해자의 시스템 취약점을 타깃으로 삼아 민감한 정보를 탈취할 수 있게 한다.
라자루스 그룹은 암호화폐 결제 제공업체 CoinsPaid를 대상으로 한 6개월간의 작전에서도 유사한 방법을 사용했으며, 이로 인해 CoinsPaid에서 3700만 달러가 도난당했다.
이 작업 기간 동안 엔지니어에게 허위 채용 제안을 보내고, 분산 서비스 거부(DDoS) 등 기술적 공격을 실행하며, 여러 가능한 비밀번호를 제출해 무차별 대입 공격을 수행했다.
CoinBerry, Unibright 등 공격 사건 조작
2020년 8월 24일, 캐나다 암호화폐 거래소 CoinBerry의 지갑이 해킹당했다.
해커 주소:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020년 9월 11일, Unibright는 개인키 유출로 인해 팀이 관리하던 여러 지갑에서 승인되지 않은 40만 달러 규모의 송금이 발생했다.
해커 주소:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020년 10월 6일, 보안 취약점으로 인해 CoinMetro의 핫월렛에서 75만 달러 상당의 암호자산이 무단 이체됐다.
해커 주소:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: 도난 자금 흐름도
2021년 초, 각 공격 사건의 자금이 다음 주소로 집결됐다:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603.
2021년 1월 11일, 0x0864b5 주소는 Tornado Cash에 3000ETH를 입금했으며, 이후 다시 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 주소를 통해 1800ETH 이상을 Tornado Cash에 추가로 입금했다.
이후 1월 11일부터 1월 15일까지 Tornado Cash에서 약 4500ETH를 0x05492cbc8fb228103744ecca0df62473b2858810 주소로 차례로 인출했다.
2023년까지 공격자는 여러 번의 이체와 교환을 거쳐 최종적으로 다른 보안 사건의 자금이 모이는 인출 주소로 집결시켰으며, 자금 추적도를 통해 확인할 수 있듯이, 공격자는 절도한 자금을 Noones 입금 주소와 Paxful 입금 주소로 순차적으로 송금했다.
넥서스 뮤추얼(Nexus Mutual) 창립자(Hugh Karp) 해킹 사건
2020년 12월 14일, 넥서스 뮤추얼 창립자 휴 카프(Hugh Karp)의 계좌에서 37만 NXM(830만 달러)이 도난당했다.

Beosin KYT: 도난 자금 흐름도
도난된 자금은 아래 주소들 사이에서 이체되며 다른 자산으로 교환됐다.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
라자루스 그룹은 이러한 주소들을 통해 자금을 혼동하고 분산한 후 다시 집결시키는 작업을 수행했다. 예를 들어 일부 자금은 크로스체인을 통해 비트코인 체인으로 이동한 후 일련의 전송 과정을 거쳐 다시 이더리움 체인으로 되돌아오고, 이후 믹서 플랫폼을 통해 자금을 혼합한 후 인출 플랫폼으로 송금했다.
2020년 12월 16일부터 12월 20일까지, 해커 주소 중 하나인 0x078405는 2500ETH 이상을 Tornado Cash로 송금했으며, 몇 시간 내에 특성 연관 분석을 통해 0x78a9903af04c8e887df5290c91917f71ae028137 주소가 인출 작업을 시작한 것을 확인할 수 있었다.
해커는 자금 이체 및 교환을 통해 일부 자금을 이전 사건과 관련된 자금 집결 인출 주소로 이전했다.
그 후 2021년 5월에서 7월 사이, 공격자는 1100만 USDT를 Bixin 입금 주소로 이체했다.
2023년 2월에서 3월 사이, 공격자는 0xcbf04b011eebc684d380db5f8e661685150e3a9e 주소를 통해 277만 USDT를 Paxful 입금 주소로 보냈다.
2023년 4월에서 6월 사이, 공격자는 동일한 주소를 통해 840만 USDT를 Noones 입금 주소로 보냈다.
Steadefi 및 CoinShift 해킹 사건

Beosin KYT: 도난 자금 흐름도
Steadefi 사건 해커 주소
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift 사건 해커 주소
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023년 8월, Steadefi 사건에서 도난된 624 ETH가 Tornado Cash로 이체됐으며, 동일한 달에 Coinshift 사건에서 도난된 900 ETH도 Tornado Cash로 이체됐다.
ETH를 Tornado Cash로 이체한 후 즉시 아래 주소들로 차례로 자금이 인출됐다:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023년 10월 12일, 위 세 주소는 Tornado Cash에서 인출한 자금을 모두 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 주소로 송금했다.
2023년 11월, 0x5d65ae 주소는 자금 이체를 시작했으며, 최종적으로 중계 및 교환을 거쳐 자금을 Paxful 입금 주소와 Noones 입금 주소로 송금했다.
사건 요약
이상에서 북한 해커 그룹 라자루스 그룹의 지난 수 년간 활동을 소개하고, 그들의 자금세탁 방식을 분석·정리했다. 라자루스 그룹은 암호자산을 도난한 후 일반적으로 크로스체인을 반복한 후 Tornado Cash 등의 믹서를 통해 자금을 혼동한다. 이후 도난 자산을 목적지 주소로 인출하고, 일정한 주소 그룹으로 집중하여 인출 작업을 수행한다. 이전에 도난된 암호자산은 대부분 Paxful 입금 주소와 Noones 입금 주소로 저장된 후 OTC 서비스를 통해 법정통화로 전환된다.
라자루스 그룹의 지속적이고 대규모 공격으로 인해 Web3 산업은 큰 보안 도전에 직면해 있다. Beosin은 해당 해커 그룹을 지속적으로 모니터링하며, 그들의 동향과 자금세탁 방식을 추가로 추적함으로써 프로젝트팀과 규제 당국, 법 집행 기관이 이러한 범죄를 단속하고 도난 자산을 회수할 수 있도록 지원할 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News









