2024년 12월 24일, 미국 FBI와 일본 경찰청은 일본 암호화폐 거래소인 DMM Bitcoin에서 발생한 비트코인 유출 사건이 북한의 사이버 공격 조직 "TraderTraitor"의 소행임을 공식 발표했습니다. 사건은 2024년 5월 31일, DMM Bitcoin의 월렛에서 약 4502.9BTC(한화 약 4,200억 원 상당)가 부정하게 유출되면서 시작됐습니다. DMM 측은 6월 5일 피해 보상을 위해 약 550억 엔의 자금을 마련하겠다고 발표했고, 이후 사용자들에게 사과와 함께 원인을 철저히 조사하겠다고 약속했습니다.
9월 26일, 일본 관동재무국은 DMM Bitcoin에 대해 업무 개선 명령을 포함한 행정 처분을 내렸습니다. 이 조치에 따라, DMM Bitcoin은 유출 사건의 구체적인 원인 분석, 고객 대응, 시스템 리스크 관리 체계 강화 등을 요구받았습니다. 이후 서비스 제한 조치와 함께 고객 자산을 SBI VC 트레이드로 이관하기로 결정했고, 2025년 3월경 사업을 종료할 예정임을 발표했습니다.
북한 조직의 개입과 수법
미국 보안 회사 Chainalysis는 유출된 비트코인의 이동을 추적해 북한의 TraderTraitor가 관여했다는 결과를 발표했습니다. 이 조직은 비트코인 거래 내역을 익명화하는 "Mixer"를 활용한 뒤 캄보디아의 온라인 마켓플레이스 "Huione Guarantee"로 자금을 세탁한 정황이 밝혀졌습니다.
더 구체적으로, TraderTraitor는 2024년 3월 LinkedIn을 통해 DMM Bitcoin의 월렛 관리 업무를 맡고 있던 Ginco 직원에게 접근했습니다. 이들은 채용 시험을 가장해 악성 Python 스크립트 링크를 보내 해당 직원이 이를 GitHub 페이지에 복사하도록 유도했습니다. 이후, TraderTraitor는 이 직원의 세션 쿠키 정보를 탈취해 Ginco의 통신 시스템에 부정 접속했습니다. 이를 통해 DMM Bitcoin의 가상화폐 거래 요청을 조작하고 비트코인을 자신의 월렛으로 이동시키는 데 성공했습니다.
증가하는 북한의 가상화폐 범죄
북한의 가상화폐 절도는 2017년 이후 급격히 증가했습니다. 2022년 기준으로만 8,000억 원 상당의 가상화폐가 도난당했으며, 2017년부터 5년간 그 총액은 1조 5,000억 원에 달합니다. 이와 같은 자금은 북한 정권의 주요 수입원으로, 탄도미사일 및 대량살상무기 개발에 사용되고 있다는 점이 국제적으로 지적되고 있습니다.
또한, 2024년 12월 23일에는 가상화폐 거래 플랫폼 Hyperliquid에서 북한 해커가 보안 결함을 테스트한 흔적이 발견되었습니다. 비록 자금 유출은 없었지만, 이 소식으로 인해 Hyperliquid에서 1억 1,200만 달러 상당의 USDC가 하루 만에 인출되고, 자체 가상화폐 HYPE의 가격이 20% 이상 하락하는 등 혼란이 발생했습니다.
북한의 사이버 공격은 점점 더 정교해지고 있으며, 전 세계 가상화폐 거래소와 사용자들에게 큰 위협으로 자리 잡고 있습니다. 이를 방지하기 위해 가상화폐 거래소와 보안 관계자들은 더욱 강력한 대책과 대응책을 마련해야 할 것입니다.
*참고 자료 : @GigaZine1225
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.
2024년 12월 24일, 미국 FBI와 일본 경찰청은 일본 암호화폐 거래소인 DMM Bitcoin에서 발생한 비트코인 유출 사건이 북한의 사이버 공격 조직 "TraderTraitor"의 소행임을 공식 발표했습니다. 사건은 2024년 5월 31일, DMM Bitcoin의 월렛에서 약 4502.9BTC(한화 약 4,200억 원 상당)가 부정하게 유출되면서 시작됐습니다. DMM 측은 6월 5일 피해 보상을 위해 약 550억 엔의 자금을 마련하겠다고 발표했고, 이후 사용자들에게 사과와 함께 원인을 철저히 조사하겠다고 약속했습니다.
9월 26일, 일본 관동재무국은 DMM Bitcoin에 대해 업무 개선 명령을 포함한 행정 처분을 내렸습니다. 이 조치에 따라, DMM Bitcoin은 유출 사건의 구체적인 원인 분석, 고객 대응, 시스템 리스크 관리 체계 강화 등을 요구받았습니다. 이후 서비스 제한 조치와 함께 고객 자산을 SBI VC 트레이드로 이관하기로 결정했고, 2025년 3월경 사업을 종료할 예정임을 발표했습니다.
미국 보안 회사 Chainalysis는 유출된 비트코인의 이동을 추적해 북한의 TraderTraitor가 관여했다는 결과를 발표했습니다. 이 조직은 비트코인 거래 내역을 익명화하는 "Mixer"를 활용한 뒤 캄보디아의 온라인 마켓플레이스 "Huione Guarantee"로 자금을 세탁한 정황이 밝혀졌습니다.
더 구체적으로, TraderTraitor는 2024년 3월 LinkedIn을 통해 DMM Bitcoin의 월렛 관리 업무를 맡고 있던 Ginco 직원에게 접근했습니다. 이들은 채용 시험을 가장해 악성 Python 스크립트 링크를 보내 해당 직원이 이를 GitHub 페이지에 복사하도록 유도했습니다. 이후, TraderTraitor는 이 직원의 세션 쿠키 정보를 탈취해 Ginco의 통신 시스템에 부정 접속했습니다. 이를 통해 DMM Bitcoin의 가상화폐 거래 요청을 조작하고 비트코인을 자신의 월렛으로 이동시키는 데 성공했습니다.
북한의 가상화폐 절도는 2017년 이후 급격히 증가했습니다. 2022년 기준으로만 8,000억 원 상당의 가상화폐가 도난당했으며, 2017년부터 5년간 그 총액은 1조 5,000억 원에 달합니다. 이와 같은 자금은 북한 정권의 주요 수입원으로, 탄도미사일 및 대량살상무기 개발에 사용되고 있다는 점이 국제적으로 지적되고 있습니다.
또한, 2024년 12월 23일에는 가상화폐 거래 플랫폼 Hyperliquid에서 북한 해커가 보안 결함을 테스트한 흔적이 발견되었습니다. 비록 자금 유출은 없었지만, 이 소식으로 인해 Hyperliquid에서 1억 1,200만 달러 상당의 USDC가 하루 만에 인출되고, 자체 가상화폐 HYPE의 가격이 20% 이상 하락하는 등 혼란이 발생했습니다.
북한의 사이버 공격은 점점 더 정교해지고 있으며, 전 세계 가상화폐 거래소와 사용자들에게 큰 위협으로 자리 잡고 있습니다. 이를 방지하기 위해 가상화폐 거래소와 보안 관계자들은 더욱 강력한 대책과 대응책을 마련해야 할 것입니다.
*참고 자료 : @GigaZine1225
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.