최근 마이크로소프트는 북한의 해킹 팀 시트린 슬리트(Citrine Sleet)는 알려지지 않은 구글 크롬 브라우저의 취약점을 이용해서 가상화폐 해킹을 하고 있다는 연구 결과를 발표했다.
마이크로소프트 보안 보고서에 따르면 북한의 해킹팀은 가짜 웹사이트를 합법적인 가상화폐 거래소 앱처럼 속여 피해자들을 유인하고 가짜 구직 신청서 등으로 피해자들을 유도해 악성 코드가 있는 가짜 가상화폐 지갑이나 거래소 앱을 다운로드하도록 유도 했다. 이 해킹 앱을 통해 북한이 자체 개발한 트로이 목마형 악성 코드인 '애플 제우스'(Apple Jeus)로 피해자들의 폰이나 PC를 악성코드로 감염시킨 뒤 가상화폐 자산을 절취하는 데 필요한 정보를 불법 수집했다.
북한의 '시트린 슬리트'는 이런 수법으로 절취한 가상화폐 규모는 정확히 알려지지 않았지만 2023년 10억 달러 이상의 가상화폐를 해킹했을 것으로 추정하고 있다. 가상화폐 리서치업체인 TRM Labs 보고서에 따르면 지난해 전 세계 가상자산 탈취액의 3분의 1이 북한 해커 소행에 의한 것으로 추정될 정도로 북한은 가상화폐 해킹에 사활을 걸고 있다. 왜 이런 일이 발생하고 있는지 살펴보도록 하자.
2000년대 초 북한은 사회 혼란을 유도하기 위해 방송, 은행, 공공 기관 해킹에 주력했다.그 후 북한은 온라인 게임을 해킹에 주력했다. 해킹된 게임 아이템은 아이템 거래 사이트에서 매매하여 막대한 수익을 얻어왔다.
북한의 해킹의 목적이 한국 사회의 혼란 유도에서 경제적인 문제로 변화된 이유 중 하나는 한국 사이버 보안 능력이 강화됨에 따라 예전과 달리 쉽게 해킹하기 힘들어졌다는 것이다. 그리고 반복된 해킹 뉴스로 인해 국민들이 북한의 해킹에 대해서 관심도가 떨어졌기 때문이다. 이에 더불어 근본적인 이유는 북한의 경제제재로 인해 외화를 획득할 방법이 현저하게 줄어들었기 때문이다.
온라인 게임 아이템 해킹으로 인한 실익이 낮아지자, 북한은 가상화폐로 눈을 돌렸다. 2022년까지 해킹 방식은 사회 공학적인 스미싱을 결합하여 악성 코드를 설치하도록 유도한 방식이 대부분이었다. 기존의 온라인 게임 해킹 툴과 거의 코드의 구성이 비슷했고 차별화된 방식은 아니었다. 그리고 가상화폐 업계가 생각보다 보안에 허술한 것도 한 몫을 했다. 텔레그램이 EXE로 된 실행 파일 전송을 차단하면서 북한은 다른 방식의 해킹을 고민하기 시작했던 것으로 보인다.
2023년 후반부터 북한의 해킹은 가장 많이 사용하는 가상화폐 지갑인 메타마스크에 집중하기 시작했다. 메타마스크가 설치된 구글 크롬 브라우저의 알려지지 않은 취약점을 적극적으로 이용하는 방식으로 한 단계 고급스럽게 해킹 기술이 발전한 것이다. 이와 더불어 빗썸과 같은 가상화폐 거래소가 코인 발행 재단에 메일을 보낸 것처럼 메일을 보내 가상화폐 재단의 PC를 해킹하는 사람의 심리를 이용한 사회 공학적 기법을 적극 활용했다.
이로 인해 몇몇 재단들은 재단 지갑이 해킹 당해 거래소로부터 거래 유의를 통보 받고 상폐까지 당하는 일이 발생하기도 했다.
북한은 2000년대 초부터 적극적으로 해킹 부대를 육성해왔고 기존의 해커에서 세대 교체를 성공한 것으로 개인적으로 추정된다. 그동안 북한은 중국과 러시아 해킹 코드를 조금만 손을 봐서 사용했지만 알려지지 않은 구글 크롬의 취약점을 이용한 해킹에서는 독창적인 해킹 기법을 보여줬기 때문이다.
가상화폐는 탈중화되어 있는 것처럼 보이지만, 이론과 달리 중앙화된 거래소와 중앙화된 재단 지갑이 크롬 브라우저 기반의 메타 마스크에 종속되어 있는 상황이다.
그동안 빗썸, 업비트, 코인원과 같은 상위 원화 거래소들은 보안에 집중적인 투자를 했다. 그래서 과거와 달리 북한이 거래소를 타겟으로 한 해킹이 거의 불가능하게 되었다. 거래소 앱 서비스 역시 금융권 수준의 시큐어 코딩이 적용되어 북한이 해킹하기 쉽지 않게 되었다. 대표적으로 빗썸 거래소에서는 금융 보안 가이드 수준의 망분리를 비롯하여 해킹 침입 탐지 시스템을 구축하고 개인의 이상 거래를 추적하는 FDS가 고도화되어 과거와 같은 비정상 해킹이 쉽지 않은 것이 한 몫을 하고 있다.
그래서 북한 해킹 조직은 한국 거래소에 상장한 재단을 노리는 것이다. 상대적으로 보안에 투자할 여력이 적고 현금화가 편한 대량의 코인을 보유하고 있기 때문이다.
그렇다면 북한의 해킹 피해를 어떻게 최소화할 수 있을까?
첫째. 재단은 하드월렛이나 에스크로 서비스를 통해 지갑의 접근을 분리해야 한다.
둘째. 재단의 지갑을 다중 서명 방식으로 구성하여 일부 서명권자가 해킹 당하더라 출금되지 않도록 해야 한다.
샛째. 재단의 공식 메일에 접속하는 재단 관계자는 하이퍼링크가 포함된 링크를 열지 말아야 한다.
넷째. 거래소와 소통하는 메일이 비정상적인지 체크해야 한다. 메타 정보를 거래소 메일처럼 보이는 경우가 많지만 메일 주소를 확인하면 다를 수 있다.
다섯째. 재단 메일 담당자는 지갑 관리자와 물리적으로 분리해야 한다. 메일과 텔레그램과 같은 커뮤니케이션 도구에서 해킹이 시작되기 때문에 물리적 분리만 되더라도 피해는 줄 일 수 있다.
여섯째. 사무실의 방화벽은 최소한의 보안이다. 공유 오피스를 쓰더라도 방화벽 사용은 따로 신청 가능하다.
일곱째. 정기적인 보안 업데이트를 꾸준히 해야 한다.
북한의 해킹은 사람의 심리적인 실수를 노리는 사회 공학적인 해킹을 기반하고 있다. 그래서 사람은 실수할 수 있다. 더구나 아직 파악되지 않은 구글 크롬의 보안 취약점을 패치하기까지 얼마나 긴 시간이 걸릴지 우리는 알지 못한다.
그래서 재단이 더 조심하고 보안에 집중해야 한다. 코인 재단의 해킹 피해는 코인 재단의 정상적인 운영 뿐 아니라 코인 투자자에게 더 큰 피해로 다가오기 때문이다.
재단이 앞서 설명한 기본적인 보안 가이드를 지킨다면, 북한의 해킹으로부터 소중한 가상 자산을 보호할 수 있을 것이다.
필자 소개: 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드 등이다.