[데이터넷] 가상자산 피해가 계속 이어지고 있다. 블록체인 분석업체 TRM랩스는 가상자산 해킹 피해가 2023년 18억5000만달러 규모라고 집계했으며, 버그바운티 플랫폼 이뮤니파이(Imuunefi)는 북한 라자루스에 의한 탈취 사례가 전체 공격의 17.4%, 3억860만달러에 이른다고 분석했다.

체이널리시스는 2023년 가상자산 탈취 사고를 17억달러로 집계하면서 그 중 10억달러 상당이 북한과 관련있는 것으로 분석했다. 북한은 정권유지를 위해 가상자산 탈취 공격에 집중하고 있다. 그러면서 러시아와의 협력으로 사이버 범죄 자금 모집과 세탁을 더 적극적으로 수행하는 것으로 보인다.

일례로, 김정은 북한 국무위원장과 블라디미르 푸틴 러시아 대통령의 정상회담 이후 양국의 사이버 협력이 상당한 수준으로 증가한 것으로 의심되는 상황에서 하모니 프로토콜(Harmony Protocol)에서 탈취한 2190만 달러 상당의 가상자산이 불법 거래 이력이 있는 러시아 거래소로 이체된 것으로 파악됐다.

 

투자빙자 사기 여전히 성행

북한 외에도 다른 국가배후 그룹과 APT 조직이 금전 목적으로 가상자산 탈취를 시도한다. 2023년 발생한 가장 큰 해킹 피해는 P2P 거래 플랫폼 믹신네트워크에서 발생한 2억달러 규모의 피해였으며, 대출 플랫폼 오일러 파이낸스는 1억9700만달러 상당의 피해를 입었다.

교묘하게 피해자의 심리를 악용하는 거래승인 스캠으로 인한 피해가 2022년 5억달러, 2023년에는 11월까지 집계한것만 3억7400만달러 피해를 일으켰다. 이 공격은 블록체인 탈중앙화 앱(dApp)의 거래승인 절차에 서명하는 과정을 악용하며, 범죄자들이 허위 유니스왑 승인 피싱 스캠으로 조작해 위조된 이더스캔 페이지에서 지갑을 열도로 사용자를 속인다.

가상자산 탈취 공격자는 공격자는 피해자와 연인관계 혹은 아주 친한 지인인 것처럼 느끼게 하면서 피해자에게서 가상자산을 탈취하거나 거액의 투자를 유도한다. 가장 많은 피해를 입힌 거래승인 피싱은 한 주소에서 4430만달러를 훔친 것으로, 전체 거래승인 스캠의 4.4%를 차지했다.

돼지도살과 같은 투자빙자 사기사건도 계속 이어지고 있는데, 경찰청 국가수사본부가 2023년 3월부터 10월까지 수사한 사이버 사기범죄의 38%가 투자 빙자 사기였다. 이들은 좋은 투자처를 소개해준다고 피해자를 유인해 자금을 투자하도록 만든다. 처음에는 약속했던 수익을 보장하다가 점점 더 많은 금액을 투자하도록 유도하면서 피해를 키우는 방식이다.

암호화폐 전문가 잭XBT(ZachXBT)는 트위터(현 X)를 이용한 가상자산 사기가 통제 불가능한 수준을 넘어섰다고 비판하기도 했다. 사기꾼이 X의 가짜 계정을 이용해 위조된 토큰 에어드롭을 홍보하고, 사용자 지갑에서 가상자산을 훔치고 소유자 정보를 수집한다. 잭XBT는 온체인 트레이딩 프로젝트 썬더 터미널이 익스플로잇 공격에 노출돼 공격자가 무단으로 이더리움을 이체했다는 사실을 폭로하기도 했다.

블록체인 앱 취약성 이용 공격 심각

가상자산 거래의 기반 플랫폼인 블록체인 취약점을 이용한 공격도 발생한다. 트렌드마이크로는 스마트컨트랙트 취약점을 악용한 가상자산 거래소 해킹 사고가 발생하고 있으며, 스마트컨트랙트를 무기화 해 탈중앙화 금융 플랫폼을 공격하고 있다고 설명했다.

가트너는 블록체인 취약점을 이용한 공격 사례를 예로 들어 설명하면서 대책 마련이 시급하다고 경고했다. 블록체인 애플리케이션에 공격자가 위조된 데이터를 삽입하거나 결과를 조작할 수 있는 취약점이 있는데, 이를 패치하려면 블록체인에 기록된 데이터를 어떻게 처리해야 할지 난감한 상황에 놓이게 된다. 블록체인 애플리케이션을 업데이트하면 이전의 데이터 정합성이 깨지기 때문이다.

블록체인 애플리케이션은 일반 애플리케이션과 마찬가지로 API 취약성이나 구성요소의 취약성, 논리적 설계의 오류로 인한 취약점도 있다. 프라이빗 블록체인은 노드 수가 적어 높은 트랜잭션 속도를 지원할 수 있지만, 데이터 무결성을 보장하기 위한 노드 수가 적어 보안이 떨어진다. 중요한 데이터가 기록된 프라이빗 블록체인은 내부자 위협이 높다.

테러자금 조달에 사용되는 가상자산

가상자산은 블록체인에 모든 거래가 기록되기 때문에 투명하게 관리되고 있지만, 그렇다고 해서 모든 범죄를 막을 수 있는 것도 아니다. 공격자들은 범죄수익을 암호화폐로 받아 수많은 지갑으로 분산 이체를 반복하면서 자금을 세탁한다. 정상 거래와 섞어 이체하면서 추적을 어렵게 한다. AI를 이용한 블록체인 거래 분석 시스템을 통해 자금세탁 정황을 파악하고 대응할 수 있지만, 불법 거래를 확인하고 거래 정지 등의 명령을 내리기 전 공격자는 자금을 현금화한다.

범죄 거래에 이용되는 거래소에 대한 제재로 많은 범죄자금이 현금화되지 못하고 묶여 있다고 보이지만, 공격자들은 제재가 이뤄지지 않는 다른 거래소를 이용해 여전히 자금확보에 성공하고 있다.

가상자산은 테러자금 조달에도 사용되는 것으로 분석된다. 체이널리시스는 테러조직에 의한 가상자산 거래 건수는 많지 않지만, 자금 규모는 상당하다고 분석했다. 이들은 무기와 조직원을 동원하기위해 불법적으로 자금을 조달하며, 가상자산을 이용해 국제 제재를 피하면서 자금을 운용한다.

자금세탁으로 범죄자금 은닉

불법 가상자산은 세탁을 거쳐 공격자에게 전달된다. 마이크로소프트는 범죄자금 세탁에 암호화폐 회사, 가상자산 서비스 제공자(VASP), 피어투피어·암호 화폐 거래소, 믹서, 머천트 서비스, 다크 넷 마켓 등 여러 곳에 걸쳐있다고 설명했다.

자금세탁 단계는 ▲지금은 제재된 토네이도 캐시(Tornado Cash)를 이용해 이더리움을 혼합 ▲이더리움을 비트코인으로 교환 ▲비트코인을 다시 혼합 ▲비트코인을 현금화가 가능한 서비스에 입금의 단계를 거친다.

UN은 동남아시아 카지노 산업을 통해 범죄자금 세탁이 이뤄진다고 공개했다. 필리핀의 카지노는 북한 라자루스 그룹이 방글라데시 은행에서 훔친 것으로 추정되는 8100만달러를 세탁했다는 의심을 받고 있다.

글로벌 팬데믹 전에는 마카오가 범죄자금 세탁의 온상지로 지목됐지만, 팬데믹으로 여행이 중단되면서 범죄조직은 온라인 카지노, 자금세탁, 기타 통신 사기를 벌이는 것으로 보인다. 라오스, 미얀마 등의 카지노를 중심으로 범죄가 이뤄지는 것으로 보이며, 범죄조직은 전문 계열사를 거느리면서 범죄전문성을 높이는 것으로 분석된다.

국제 협력으로 가상자산 탈취 공격 차단

가상자산은 개인 투자자에게 큰 피해를 줄 뿐만 아니라 각종 범죄자금을 유통하고 세탁하는데 사용되기 때문에 불법 자금 거래를 차단하고 범죄자들이 수익을 얻지 못하게 해야 한다. 다행스러운 점은 가상자산이 블록체인을 통해 거래되기 때문에 거래와 이체 상황을 투명하게 거시화 할 수 있다는 점이다.

그래서 체이널리시스와 같은 AI로 블록체인 거래를 분석하는 기업의 활동이 두드러진다. 체이널리시스는 10억 개가 넘는 주소, 5만5000 개의 비즈니스 및 불법 조직을 매핑하고 있으며, 110억 달러가 넘는 도난 자금 회수를 지원했다. 더불어 가상자산 사고 대응 서비스를 출시, 사이버 공격에 노출될 위험이 높은 가상자산 기업을 위해 24시간 연중무휴로 신속하게 대응해준다.

국제 사법기관의 공조로 가상자산 탈취와 세탁 시도를 와해시키고 범죄자금을 회수하는 성공사례도 있다. 체이널리시스는 국제사법기관과 함께 라자루스가 액시 인피니티(Axie Infinity)에서 탈취한 약 3000만달러 가상자산을 회수하는 성과를 거뒀다.

가상자산 탈취 피해를 막으려면 투자자 개인의 각별한 주의가 필수다. 신뢰가 확인되지 않은 투자정보를 맹신하지 말고, 공식적인 경로로 개인 생활에 부담없는 적당한 규모로 투자금을 운용해야 한다. 가상자산 지갑에는 MFA를 설정해 키가 탈취되지 않도록 각별히 주의한다.

가상자산 거래소 역시 해킹당하지 않도록 만반의 준비를 갖춰야 한다. 거래 시스템의 취약점을 파악해 조치하며, 특히 블록체인 플랫폼에서 발생할 수 있는 취약점이나 해킹 공격에 대응하는 것이 필요하다. 내부자, 권한관리자 계정과 이상행위탐지 정책을 통해 해킹이나 불법 자금 유출 시도를 미리 파악해 조치할 수 있도록 해야 한다.