암호화폐 생태계에서 코인은 각종 이야기가 있으며, 암호화폐 경제의 기반이 되는 변경 불가능한 블록체인으로 추적할 수 있다. 어느 정도 유일한 예외라고 볼 수 있는 상황은 암호화폐 소유주의 컴퓨터 성능으로 새로이 생성한 암호화폐이다. 따라서 북한 해커 세력이 최근 들어 전 세계 피해자를 대상으로 탈취한 암호화폐를 세탁할 새로운 꼼수를 선택했다. 바로 불법 행위로 탈취한 코인을 새로운 암호화폐로 채굴하도록 지원하는 서비스 비용을 직접 부담하는 것이다.
2023년 3월 28일(현지 시각), 사이버 보안 기업 맨디언트(Mandiant)는 APT43라는 이름으로 알려졌으며, 혹은 가끔 킴수키(Kimsuky), 탈륨(Thallium)이라는 이름으로 통하는 북한 정권 산하 해킹 그룹의 암호화폐 세탁 실태 보고서를 발행했다. APT43의 활동을 통해 조직원이 북한의 정찰총국 활동에 가담하며, 적어도 2018년부터 미국과 유럽, 남한, 일본의 국책연구소 및 학술 기관, 민간 산업체 감시, 해킹 작전에 주력했다. APT43는 주로 피해자의 민감 정보를 수집할 의도로 설계된 피싱 작전을 개시하며, 피해자 기기에 멀웨어를 심는다.
맨디언트는 APT43는 대다수 북한 해커 조직과 마찬가지로 수익 목적의 사이버 범죄를 부업으로 삼고, 북한 정권의 자산을 늘리거나 해커 세력 자체 운영 자금 조달 목적으로 암호화폐를 탈취한다고 설명했다. 전 세계 규제 당국이 사이버 범죄 세력과 해커 세력의 범죄로 부패한 코인을 현금화하는 데 사용하는 거래소와 자금 세탁 서비스 규제를 강화하였다. 이 때문에 APT43는 탈취 자금을 전환하면서 자산 몰수나 동결을 피할 새로운 방법을 찾는 데 혈안이 되었다. 결국, APT43는 탈취한 암호화폐 자산을 해시 서비스에 주입하여 누구나 암호화폐 채굴에 사용하는 컴퓨터를 시간 단위로 대여하고는 범죄 활동과는 전혀 관련이 없는 것처럼 보이는 새로이 채굴한 코인을 모으도록 하는 방식을 선택했다.
APT43는 채굴 과정의 꼼수를 악용하여 암호화폐가 상대적으로 탈취하기 쉬운 자산이면서 탈취 세력의 자금 인출의 어려움을 제기할 수 있는 블록체인에 남는 포렌식 추적 증거를 피하였다. 맨디언트 위협 정보 인텔리전스 조 돕슨(Joe Dobson)은 “APT43의 암호화폐 채굴 꼼수는 체인을 무너뜨린다. 은행 강도가 은행 금고에서 은을 훔친 뒤 금 채굴업자에게 가서 탈취한 은의 비용을 결제하도록 유도하는 것과 같은 원리이다. 누구나 은의 행방을 쫓지만, 은행 강도는 추적을 따돌리고 새로이 채굴하여 범죄와 무관한 금을 손에 넣게 된다”라고 설명했다.
[사진=Freepik]
맨디언트는 2022년 8월, APT43의 채굴 기반 세탁 수법의 징조를 처음 발견했다. 이후 수만 달러 상당의 암호화폐가 나이스해시(NiceHash), 해싱24(Hashing24) 등 누구나 대다수 암호화폐를 채굴할 때 필요한 해시라는 수학적 배열 계산용 컴퓨터 전력 거래가 가능한 해시 서비스로 흘러 들어간 것을 발견했다. 맨디언트는 해시 서비스에 투입된 암호화폐가 APT43의 암호화폐 지갑에 있다고 확신한다. 또, 맨디언트는 채굴자가 자신의 해시 리소스를 그룹에 기부하여 그룹이 공동으로 채굴한 암호화폐의 몫을 지급하는 서비스인 채굴 "풀"에서도 비슷한 금액이 APT43 지갑으로 유입되는 것을 확인했다. (맨디언트는 APT43이 참여한 해싱 서비스나 채굴 풀의 이름 공개를 거부했다.)
이론적으로 암호화폐 풀에서 지급된 자금은 APT43 해커 세력과 관련 없이 깨끗해야 한다. APT43의 세탁 목적으로 추정되는 부분이다. 그러나 맨디언트는 간혹 허술한 운영으로 일부 자금이 수년 간 추적한 APT43의 해킹 작전으로 확인한 암호화폐 지갑과 혼합된 것을 확인했다.
맨디언트 애널리스트팀이 인정한 바와 같이 맨디언트가 확인한 수만 달러 상당의 암호화폐 자금은 채굴 과정에서 세탁됐으며, 북한 해커 세력이 지난 몇 년간 모니 브리지(Harmony Bridge) 또는 로닌 브리지(Ronin Bridge) 서비스 침해 사건 당시 탈취한 수억 달러 규모의 자산보다는 턱없이 부족하다. 북한의 채굴 기반 자금 세탁 중 극소수만 적발되었기 때문이다.
맨디언트 애널리스트 마이클 반하트(Michael Barnhart)는 APT43이 주로 암호화폐 탈취 범죄만 개시하지 않았다는 점도 채굴 기반 세탁 금액의 규모가 과거보다 상대적으로 적은 이유로 제시했다. APT43는 사이버 범죄를 통해 감시 작전을 펼칠 때 사용하기 충분한 금액을 생성하라는 명령을 받았다. 결과적으로 독자적인 자금 조달이라는 목표와 함께 광범위한 피해자 단체를 대상으로 탈취한 암호화폐 금액이 상대적으로 적은 것으로 확인됐다. 반하트는 “APT43는 거액의 현금을 손에 넣는 것을 주요 목표로 삼지 않는다. 범죄 활동에 필요한 최소한의 자금을 확보하려 한다”라고 말했다.
체이널리시스(Chainalysis), 엘립틱(Elliptic) 등 암호화폐 추적 기관은 범죄 활동 자금을 모으거나 범죄 수익 경로가 불분명해지도록 만들 의도로 새로 채굴한 암호화폐를 찾는 사이버 범죄 세력을 다수 발견했다고 밝혔다. 엘립틱은 군사 조직 하마스와 관련된 어느 한 사이버 범죄 조직이 테러 자금 조달 목적으로 암호화폐를 탈취한 사실을 확인했다. 그러나 엘립틱 위협 애널리스트 아르다 아카르투나(Arda Akartuna)는 해시 서비스에 탈취 암호화폐를 투입하여 범죄와 관련이 없는 암호화폐를 채굴하는 행위를 관측했던 적이 없다고 밝혔다.
아카르투나는 채굴 풀이 다른 암호화폐 기관과 같은 규제, 감시 대상이 아니므로 간혹 암호화폐 거래소와 사용자 코인 추적이 불확실해지도록 설계된 믹싱 서비스, NFT 마켓플레이스 등의 자금 세탁에 동원된다고 설명했다. 그러나 그는 “자금 세탁 목적으로 채굴한 암호화폐도 결국 추적이 가능할 것”이라고 언급했다.
아카르투나는 “상당수 채굴 풀이 실제로 채굴 과정에 참여하는 이를 감시하지 않는다. 따라서 불법 목적으로 채굴을 시도하는 범죄자의 채굴 풀에 컴퓨터 전력을 제공하게 될 수도 있다. 또, 범죄자의 채굴 풀은 채굴 과정 참여자의 신원을 확인할 수단이 없다”라고 말했다.
자금 세탁 경로를 찾는 데 혈안인 정부 당국과 범죄 자금 조달 세력이 암호화폐 중간 개입자가 아닌 초기 암호화폐 채굴 서비스 대규모 공급자 역할을 하는 채굴자에게로 눈을 돌릴 수 있다는 의미이다. 새로 채굴된 디지털 자산 전부 겉으로 보이는 것처럼 불법 행위와의 관련성이 없는 것은 아니다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202304/4659_6120_198.jpg)
뉴스레터 신청