북한 해커 그룹 ‘트레이더트레이터(라자루스)’를 배후로 지목
일본의 암호화폐 거래소인 DMM 비트코인(DMM Bitcoin)이 2024년 5월에 발생한 해킹 공격으로 약 4,502.9 비트코인(BTC)을 탈취당해 당시 시세로 약 3억 5백만 달러(한화 약 4,800억 원)에 달하는 피해를 입었다고 밝혔다. 이 사건은 역대 가장 큰 규모의 암호화폐 해킹 사건 중 하나로 기록됐다.
미국 연방수사국(FBI)은 이번 공격의 배후로 북한 정부와 연계된 해커 그룹 트레이더트레이터(TraderTraitor)를 지목했다. 이 그룹은 ‘라자루스(Lazarus)’, ‘UNC4899’, ‘슬로우 피시스(Slow Pisces)’ 등의 이름으로도 알려져 있다.
공격은 지난 2024년 3월 말, 트레이더트레이터 소속의 해커가 직장 채용을 가장해 일본 기업 암호화폐 지갑 소프트웨어 회사인 진코(Ginco)의 한 직원을 노리면서 시작됐다. 해커는 링크드인(LinkedIn)에서 합법적인 채용 담당자로 가장해 피해 직원에게 접근했으며, 직무 적합성 검사를 명목으로 깃허브(GitHub)를 통한 테스트를 요구했다. 직원은 해당 테스트를 위해 파이썬(Python) 코드 조각을 실행하도록 요청받았으나, 이 코드는 피해자의 컴퓨터를 감염시키는 악성코드로 밝혀졌다.
트레이더트레이터는 감염된 진코의 내부 네트워크를 통해 접근권을 확보한 뒤 DMM 비트코인의 네트워크로 lateral movement(횡적 이동) 공격을 이어갔다. FBI에 따르면, 2024년 5월 중순에 이르러 공격자는 피해 직원의 세션 쿠키 정보를 활용해 직원으로 가장했으며, 이를 통해 진코의 암호화되지 않은 커뮤니케이션 시스템에 접근할 수 있었다.
5월 말, 해커들은 이를 이용해 DMM 비트코인의 직원이 승인한 합법적인 거래 요청을 조작, 4,502.9 BTC를 탈취한 것으로 확인됐다.
DMM 비트코인, 거래 정지 및 폐업 선언
DMM 비트코인은 사건 직후 계좌 등록, 암호화폐 출금, 거래 기능을 모두 중단하며 조사를 진행했다. 그러나 복구 노력에도 불구하고 회사는 재정적 손실과 신뢰도 하락으로 인해 정상 운영이 불가능하다고 판단, 2024년 12월 폐업을 선언했다. 고객 보호를 위해 고객 계좌와 자산은 SBI VC 트레이드(SBI VC Trade)로 이관되었다.
이번 사건은 암호화폐 산업 내 사회공학적 공격과 내부자 위협의 취약점을 다시 한번 드러냈다. 특히 북한 정부와 연계된 해커 그룹들이 가상화폐 해킹을 통해 핵무기 및 탄도미사일 프로그램을 지원하고 있다는 점에서 국제적 위협으로 부상하고 있다.
암호화폐 거래소들은 직원 교육을 통한 사회공학적 공격 예방, 네트워크 접근 제어 강화, 정기적인 보안 점검 등의 방안을 통해 보안 체계를 더욱 강화해야 할 필요성이 커지고 있다.
