북한의 대표적인 해킹그룹인 라자루스가 훔친 일부 암호화폐의 세탁 경로가 발견됐다는 주장이 나왔다.
블록체인과 암호화폐를 연구하는 닉 백스(Nick Bax)는 지난달 29일 자신의 블로그에 ‘WannaCry 2.0 Monero Transactions(워너크라이 2.0 모레노 거래)’이라는 글을 게시했다.
‘워너크라이 2.0’은 라자루스가 지난 2017년 12월 미국과 호주, 캐나다, 뉴질랜드, 영국 등 150여 개국의 컴퓨터 30만 대 가량에 피해를 준 랜섬웨어이고, 모레노는 암호화폐의 한 종류다.
백스는 암호화폐 자금세탁 방지 소프트웨어 전문 기업인 체이널리시스(Chainalysis)에서 유출된 문서를 입수했다. 문서의 제목은 ‘ “Wannacry 2.0: BTC(비트코인)에서 XMR(모네로)로, 그리고 3개월 후 BCH(비트코인 캐시)로 돌아온 자금 추적”이다. 그는 해당 문서에 라자루스의 자금을 추적하는 방법이 담겨 있었으며 실제 일부 거래내용이 확인된 것으로 나타났다고 밝혔다.
다만, 해당 문서가 실제 체이널리시스에서 작성한 것인지 여부는 정확히 확인되지 않았다.
문서에 따르면 라자루스는 2017년 5월 52비트코인을 훔쳤으며 이를 8월 다양한 주소로 분산해 보냈다. 라자루스는 같은 날 비트코인을 모네로로 변환했다. 이때 암호화폐의 추적을 어렵게 하는 ‘체인 호핑(chain hopping)’이라는 방식이 사용됐다.
이때 일부 변환은 스위스에 등록된 미국의 암호화폐 거래소인 셰이프시프트(ShapeShift)를 통해 이뤄졌다. 당시 셰이프시프트는 사용자가 이메일이나 기타 개인정보를 제공하지 않고도 거래할 수 있었다.
문서에는 “라자루스가 2017년 8월 17일 셰이프시프트에서 세 번의 거래를 통해 비트코인을 모네로로 바꿨다”며 “같은해 11월 2일 셰입쉬프트에서 아홉 번의 거래를 통해 536 모네로를 비트코인캐시로 변환했다”고 말했다.
52비트코인은 당시 시세로 약 4억 4천만 원 상당이며 546 모네로는 약 5천만 원 정도이다. 라자루스가 훔친 모든 암호화폐에 대한 모든 자금이 아닌 일부 거래명세만 확인된 것으로 보인다.
북한 해커들이 훔친 암호화폐를 추적하기 가장 어려운 형태로 변환한 뒤 이를 한 번 더 변환해 자금을 세탁하는 것이다.
암호화폐는 익명성을 가지고 있어 소유주를 바로 확인하기가 어렵다. 특히 모네로는 은닉, 익명성을 조금 초점을 맞춘 암호화폐로 추적이 더 어려운 것으로 알려졌다.
북한은 국제금융 시스템의 감시를 피하고 유엔 대북제재를 회피해 자금을 이동시킬 방법으로 암호화폐의 채굴, 절취, 생산에 총력을 기울이고 있다.
지난 3월 유엔 안전보장이사회 산하 대북제재위원회의 전문가패널 보고서에 따르면 한 회원국은 북한이 2019년부터 2020년 11월까지 3억 1640만 달러(약 3575억 원) 상당의 가상자산을 훔쳤다고 보고했다.
북한의 암호화폐 탈취는 정찰총국이 주도하는 것으로 알려졌다. 정찰총국은 북한의 사이버 공격을 총괄 지휘하는 조직이다.
