들어가며: 북한은 어디에서 돈이 생겨서 미사일을 대량으로 발사할 수 있었던 것일까?
최근 몇주간 국민들을 불안하게 만든 이슈가 있다면, 아무래도 북한의 미사일도발을 들 수 있을 것이다. 다년간 수많은 제재와 잘못된 국가운영으로 인해 경제적으로 실패하여 자금이 바닥났을 것으로 추정되던 북한은 어떻게 천문학적인 비용이 들어가는 미사일들을 대량으로 만들고 도발을 할 수 있었던 것일까?
P2E 게임서비스로 유명한 액시 인피티니에 대한 해킹 역시도 북한이 관련되어 있는 것으로 분석 보고서가 나오는 등 다수의 사이버보안기업들의 보고서에서 북한이 해킹의 배후로 언급되고 있으며, 최근 미국 토니 블링컨 국무장관의 발언 등을 토대로 살펴보면, 북한의 ‘라자루스(Lazarus)’ 와 같은 해킹그룹이 수시로 가상화폐 관련 기업들을 해킹한 뒤 토네이도나 블렌더와 같은 믹싱 서비스를 이용하여 세탁을 하여 자금원으로 사용한 것으로 판단되고 있다.
이미 많은 독자들이 알고 있듯, 북한의 해킹기술은 이미 상당한, 세계 최고 수준에 올라와 있다. 물론 기술력에서 과연 최고인가라는 점에는 이견이 있는 보안 전문가들도 많을 것이다.
하지만, 최소한 국가 차원에서 사이버위협 방어 목적이 아닌 공격 목적으로 해킹인력들을 육성하고, 더 나아가 해킹을 국가 수익모델로 삼아서 보안이 취약한 대상만을 먹잇감으로 노려 랜섬웨어를 배포하거나, 금융기관을 해킹하는 나라는 거의 없다는 점에서 큰 위협이 되고 있다는 것은 모두가 공통적으로 인정하는 점이다.
유사 산업분야에서의 히스토리: 왜 하필 가상화폐인가?
“중국발 해킹” 이라는 키워드가 2000년대 초중반에 끊임없이 보안관련 뉴스에 오르내리던 시절이 있었다. 전통적으로 중국의 해커들이 국내 온라인 게임회사들을 대상으로 심각한 수준으로 대량의 공격을 했었는데, 그 이유는 온라인게임 내의 아이템 (게임머니, 무기, 방어구)이 가상세계에서만 사용되는 게 아니라, 현실세계로도 거래가 되어 금전적인 가치가 높았기 때문이다. 특정 게임의 무기의 경우 현금으로 1천만원을 호가하는 경우도 있어 화제가 된 적이 있다.
더불어, 온라인게임 내 게임머니나 게임아이템들은 게임플레이를 통해 24시간 365일 지속적으로 생산이 가능했기 때문에, 저임금 인력들을 대량으로 투입하여 게임플레이를 시켜서 게임머니와 아이템을 취득하거나, 봇 프로그램을 제작하여 사람 대신 자동으로 게임플레이를 하여 가상재화를 대량으로 획득한 뒤 현금거래 (RMT; Real Money Trading)를 통해 현실세계의 돈으로 바꾸는 것이 가능했다.
당시에는 온라인게임회사들이 보안에 많이 신경을 쓰지 않던 시기여서, 환금성이 높은 고가치 자산을 지속적으로 생산해 낼 수 있는 조폐공사 기계가 인터넷 상에 해커들이 쉽게 사용할 수 있도록 열러 있는 것과 마찬가지였다. 온라인게임 산업에서 가상재화를 현금으로 바꾸어 나가는 것에 대해 방어책을 마련해온 히스토리를 보면, 마치 가상화폐 거래소들이 현재 해킹을 방어하기 위해 대책을 마련해 온 것과 데자뷰를 느끼게 할 정도이다.
온라인게임산업에서 중국 해커들의 전술은 다음과 같았다.
1. 게임회사의 보안수준이 높지 않은 경우, 게임서버를 실제로 해킹하여 데이터베이스를 직접 조작하는 방식을 택한다. 이 경우 한번의 해킹으로 대량의 게임아이템을 특정인에게 지급하도록 데이터베이스를 조작할 수 있기 때문에 많은 금전적 이익을 한번에 얻을 수 있다.
2. 게임회사들이 게임서버의 보안을 강화하게 되면, 지속적으로 게임머니를 벌어들일 수 있는 게임봇 (자동프로그램)을 제작하여 게임머니를 취득하고, 이를 현금화 하여 금전적 이익을 취득한다. 많은 수익을 얻기 위해서는 다수의 PC 가 필요하므로 원가 절감을 위해 전기료 등 제반비용이 낮은 국가로 게임봇을 돌리는 작업장을 옮겨 다닌다.
3. 게임회사들이 게임봇에 대한 탐지와 제재를 강화하기 시작하면, 게임 유저들의 계정을 대량 해킹하여 해당 계정내의 게임머니 및 게임아이템을 탈취하여 판매한 뒤 금전적 이익을 취득한다.
4. 1~3 이 다 안되면 DDoS 공격을 날려 게임서비스를 마비시키고 협박을 통해 게임회사로부터 금전을 갈취한다.
이는 가상화폐(암호화폐)에서도 다년간에 걸쳐 발생한 일련의 해킹들과 비슷한 패턴임을 관찰할 수 있다.
1. 가상화폐거래소를 직접 해킹하여 코인을 탈취하는 방식
2. 코인 마이닝을 하는 소프트웨어 또는 GPU 등 하드웨어를 도입하여 코인을 지속적으로 생산해 내는 방식, 전기료가 싼 곳을 찾아 심지어는 수력발전소 근처로 코인 작업장을 옮기는 경우까지 발생
3. 무차별적인 마이닝이 이루어지지 못하도록 가상화폐의 알고리즘/프로토콜 업데이트를 업데이트 하면 이용자들의 계정을 해킹한 뒤 해당 계정의 가상화폐를 탈취하여 판매한 뒤 금전적인 이익을 취한다.
4. DDoS 공격을 가상화폐 거래소에 날려 정상적인 서비스 이용을 방해하고, 협박을 통해 거래소로부터 금전을 갈취한다.
한가지 재미있는 점은 온라인게임으로 유입되는 해킹이 줄어들면서 동시에 가상화폐거래소로 유입되는 해킹이 늘어나는 양상을 보이기 시작했다는 점이다.
이는 온라인게임회사들의 보안 수준은 점점 높아지고, 온라인게임의 인기가 2000년대 초중반에 비해서는 다소 낮아진 시기에, 때마침 가상화폐 거래소들이 2010년대 중후반에 등장하기 시작했고 이 시기에는 가상화폐 거래소들의 보안수준이 지금처럼 높지 않던 시기여서 그렇다고 볼 수 있다. 즉, 해커의 보다 적은 노력으로 많은 이익을 볼 수 있는 해킹 대상이 가상화폐 거래소 였기 때문이라고 유추해 볼 수 있다.
결국은 해커가 가장 좋아하는 공격 대상은 “환금성” 이 얼마나 높은가, 특정 국가에서만 통용되는 재화가 아닌 “글로벌 재화” 로서 “접근 및 사용” 이 편리한가, 그리고 해커의 정체를 쉽게 숨길 수 있는 “익명성”이 있는 경우라 할 수 있다.
온라인게임의 경우에는 특정 국가에서만 서비스 되는 경우가 있어서 해당 국가에서 환전한 뒤 외환 거래를 통해 송금을 해커 쪽으로 해야 하는 문제가 있지만, 가상화폐의 경우에는 위의 모든 장점을 다 충족시켜주고 있기에, 현재 해커들에게 있어 가장 매력적인 공격 대상이라 할 수 있다.
그렇다면, 북한발 해킹에서 자주 언급되는 라자루스 그룹이란 어떤 그룹인가?
해킹사고가 발생할 경우, 특정 해킹그룹에 의해 해킹되었고, 어느 국가와 관련되어 있다는 소식을 접하게 되면, 이러한 분석은 도대체 어떻게 했을 것인지 많은 분들이 아래와 같은 궁금한 점이 있을 것이라 생각된다.
- 해커를 물리적으로 체포하여 자백을 받아내 것도 아닌데, 이 그룹의 이름이 무엇인지 어떻게 알고, 또 북한과의 관련성은 어떻게 입증한 것인가?
이러한 확증을 갖기 위해 전세계의 보안 위협 분석가들은 악성코드나 해킹시도가 있을 때마다 그 악성코드에서만 보이는 특이한 패턴 (파일 이름이나, 파일 내에 포함된 그림이 독특하다거나, 악성코드에 사용된 변수나 함수의 이름, 프로그래밍 스타일이 특이한 경우)을 찾아낸 뒤, 이후 수년간에 걸쳐서 유사한 공격이 추후 발생될 때마다 공격자의 진원지를 찾아내고 여러 기관들과 정보를 교환하며 해킹그룹을 특정하는 작업을 진행한다.
마치 현실세계에서의 범죄에서 프로파일러가 연쇄살인범을 특정해 내기 위해 범죄에 사용된 기법의 독특함을 찾아내 분석하는 것과 유사하다고 볼 수 있다. 라자루스처럼 특정 국가의 지원을 받아 활동하는 해커 그룹을 state-sponsored hacking group 이라고 부르는데, 어나니머스와 같은 해킹그룹은 특정 국가에 귀속되지 않고 사이버테러, 해킹을 저지른 다음 본인들의 정체를 드러내는 반면, 대다수의 state-sponsored 해킹그룹의 경우에는 본인들의 정체를 철저히 숨기는 편이다.
이들도 물론 같은 국가에서 지원하는 다른 해킹그룹들과 협력하고 공동의 해킹작전을 펼치기도 하며, 해킹툴 (사이버무기; cyber weapon) 을 그들만의 암시장에서 사고 팔기도 한다.
라자루스 그룹은 정찰총국에 소속된 북한의 해킹그룹으로 최소한 2009년부터 활동해 왔으며 2014년 11월에 ‘인터뷰’ 라는 북한을 희화화 한 영화가 소니픽쳐엔터테인먼트 (Sony Pictures Entertainment)에서 나오자, 이 영화제작사를 해킹하여 제작 중이던 다른 영화들을 유출시키고 회사 내부의 시스템을 파괴한 이력이 있는 그룹이다. 2013년에 대규모로 발생한 DDoS 공격을 감행한 그룹으로도 추정되고 있는 등 과거 우리나라를 타겟으로 한 대규모의 공격에 대부분 관련되어 있는 그룹이다.
북한에서는 외화벌이를 위해 이러한 해킹 전문 그룹을 이용하고 있으며, 이에 최근 전세계 가상화폐 거래소에서 발생한 대규모 해킹에는 상당부분 북한의 state-sponsored 해킹그룹이 관여되어 있는 상태로, 많은 주의가 필요한 상태이다.
맺으며: 각 이용자와 가상화폐 거래소는 어떠한 노력을 기울여야 할까?
우선, 각 개인 이용자들은 OTP 설정 등 추가 인증을 활성화하여 계정을 철저히 보호해야 할 것이다. PC 및 휴대폰에 보안 업데이트를 최근버전까지 설치하는 간단한 노력과 OTP 와 같은 부가인증 수단을 등록하는 것만으로도 상당부분 계정이 해킹 당하는 위협으로부터 안전해 진다고 볼 수 있다.
가상화폐 거래소의 경우에는 시스템 및 네트워크 보안에 만전을 기해야 한다. 하지만 100% 안전한 시스템이라는 것은 존재할 수 없기 때문에, 가상화폐 거래에 대한 흐름을 모니터링하여 이상한 자금흐름을 적발해 내는 것만으로도 이러한 해킹그룹의 활동을 많이 위축시키는 효과가 있다.
이미 제도권으로 올라온 가상화폐 거래소 등은 AML (자금세탁방지) 에 대한 규정에 의거하여 의심스러운 거래를 적발하기 위해 노력 (STR; Suspicious Transaction Report)을 하고 있고, 고객이 누구인지에 대한 식별, 즉 KYC (Know Your Customer) 에 대한 원칙을 잘 유지하고 있다.
과거에 가상화폐가 최초에 등장하였을 때에는 탈중앙화의 의미가 다소 왜곡되어, 내가 가상화폐를 통해 거래를 하는 경우 내 자금흐름을 중앙정부가 모를 것이므로 가상화폐야 말로 빅브라더로부터 자유로운 새로운 금융체제일 것이라는 이야기가 비정상적으로 강조되었던 적이 있었으나, 이제 그러한 시기는 지나갔다고 판단된다.
가상화폐 거래소들 역시 부정거래, 의심거래에 대한 탐지를 위해 적극 노력을 다양한 부가가치를 주는 서비스로 거듭나기 위해 노력 중이다.
향후에도 고객보호 및 안전한 서비스를 위해 많은 가상화폐 거래소들이 더욱 정교한 보안 수단을 개발하기 위해 투자를 아끼지 않을 것으로 기대해 본다.
*본 조사분석 자료는 당사가 신뢰할 만한 자료 및 정보를 기초로 참고가 될 수 있는 정보제공을 목적으로 작성된 자료이나, 그 정확성이나 완전성을 보장할 수 없습니다.
*본 자료는 개인의 의견을 반영하였으며 회사의 공식적인 견해와 일치하지 않을 수 있습니다.
*본 자료는 투자를 유도하거나 권장할 목적이 없으며, 투자자의 투자 판단에 참고가 되는 정보 제공을 위한 자료입니다.
*투자 여부, 종목 선택, 투자 시기 등 투자에 관한 모든 결정과 책임은 투자자 본인에게 있으며, 본 자료는 투자 결과 에 대한 법적 책임소재의 증빙자료로 사용될 수 없습니다.