insight_page.researchinsight_page.xangle_digest

Apr 15, 2022

7,500억 원을 가져간 '로닌 해킹', 알고 보니 북한의 소행?

chevron_left
RON
RON

-3.22%

AXS
AXS

-5.51%

navigate_next

[Xangle Digest]
글쓴이: Bonk

 

pick

 

요약

  • 미국 재무부의 해외자산통제국에서 제재 명단에 로닌 해커의 이더리움 주소를 추가하며 북한의 라자루스 그룹을 로닌 브릿지의 배후 세력으로 지목함.
  • 블록체인 분석업체 엘립틱에 따르면 해킹당한 자산의 14%가 이미 자금세탁이 완료된 상태로 분석하였으며 토네이도 캐시와 중앙화 거래소를 사용했다고 밝힘.
  • 미국 재무부는 사이버 공격으로 탈취한 자금의 조달을 차단하고 자금세탁 방지에 업계의 협조를 요구하기도 했다.

 

로닌 해킹의 배후

미국 재무부에서 지난달 해킹당한 로닌(Ronin) 브릿지가 북한의 소행이라고 추정하고 있다. 바로 어제, 미국 재무부의 해외자산통제국에서 제재 명단에 로닌 해커의 이더리움 주소를 추가하며 약 6억 달러에 달하는 피해 금액이 발생한 로닌 해킹 사건의 배후에 북한의 라자루스 그룹이 있다고 주장하고 나선 것이다.

엑시 인피니티로 유명한 스카이 마비스(Sky Mavis)가 이더리움의 높은 트랜잭션 수수료 문제를 해결하는 한편 자체 생태계 구축을 위해 구축한 사이드체인인 로닌 네트워크가 51% 공격에 당하며 가상자산 역사상 가장 큰 규모의 피해를 입었다. 이는 로닌 네트워크를 유지하던 총 9개의 검증 노드 중 5개의 개인키가 노출되어 가능했다. 해킹 이후에 스카이 마비스 측에서는 “기술적 결함이 아닌 소셜 엔지니어링에 의한 공격”이라고 밝히기도 했다.

해킹당한 자금중 1억 700만 달러는 돈세탁이 완료된 상태이다. 출처: Elliptic

 

자금세탁 경과

블록체인 분석 업체 엘립틱(Elliptic)에서는 4월 14일부로 이미 해킹당한 자산의 14%에 대한 자금세탁이 완료되었다고 분석했다. 먼저, 해킹당한 USDC를 탈중앙화 거래소에서 ETH로 스왑 했다. 몇몇 스테이블코인 발행자는 범죄활동을 방지하기 위해 자산을 동결시킬 수 있는 권한을 가지고 있기 때문에 재빠르게 USDC를 ETH로 바꿔 자산 동결을 회피한 것으로 추정하고 있다.

탈중앙화 거래소는 중앙화 거래소에서 이뤄지는 돈세탁 방지(anti-money laundering)와 사용자 인증(’know your customer’) 과정을 거치지 않기 때문에 해커들이 자산을 교환하고 싶을 때 자주 이용하는 창구이다. 하지만 해커는 곧이어 1,600만 달러 어치의 ETH를 세 개의 중앙화 거래소에 예치하며 돈세탁을 감행했다. 라자루스 그룹과 관련된 해킹 사건들에서는 중앙화 거래소를 통한 자금 세탁이 종종 일어났다는 점을 고려해본다면 크게 이상한 움직임은 아니라는 관측도 있다.

그러나 해당 중앙화 거래소들에서 사법기관과의 협조를 통해 해당 자금을 운용하는 개인의 신상 정보를 밝힐 것을 발표함에 따라 전략이 바뀌었다. 해커는 곧 스마트 컨트랙트로 이더리움 상의 자산에 대한 돈세탁 서비스인 토네이도 캐시(Tornado Cash)라고 불리는 믹서(mixer)를 활용하기 시작했다. 토네이도 캐시를 통해 현재까지 약 8,000만 달러에 달하는 ETH를 세탁한 것으로 추정되고 있다.

라자루스 그룹의 자금세탁 경로. 출처: Elliptic

 

미국 재무부의 제재 협조 요청

라자루스 그룹은 2017년부터 가상자산 관련된 기관들에 대한 해킹 공격을 통해 자금을 탈취하는 행각을 벌여왔다. 2021년까지 주로 한국과 아시아 일대의 중앙화 거래소들에 대한 해킹을 감행했지만 작년부터 디파이 서비스에 대한 공격의 빈도가 높아졌다. 이번 공격은 특히 아시아(베트남)의 디파이 서비스(로닌 브릿지)에 가해졌는데, 과거 라자루스 그룹의 주요 타겟 지역과 최근의 트렌드를 그대로 반영하고 있다.

몇몇 관계자들은 라자루스 그룹이 해킹으로 탈취한 가상자산이 북한의 장거리 미사일 프로그램을 지원하는 용도로 사용된다고 예측하고 있다. 최근 북한이 핵실험을 재개한다는 소식이 들려오는 만큼, 라자루스 그룹이 탈취한 가상자산에 대한 자금세탁을 방지하여 북한에 대한 제재를 견고히 해야 한다는 목소리들이 커지고 있다.

미국 재무부 대변인은 "(해킹에 사용된) 지갑이 식별됨에 따라 해당 지갑과의 거래로 미국의 제재 대상에 포함될 수 있다는 것을 명확히 인지해야 한다. 이는 악성 사이버 행위자들을 방해하고 부정한 범죄 수익금을 차단하기 위해 이용 가능한 모든 권한을 사용하겠다는 재무부의 의지를 보여주는 것이다.”라고 밝혔다. 이어, "직간접적으로 돈세탁, 상품이나 화폐의 위조, 대량 현금 밀수, 마약 밀매를 하는 북한 정부나 그 정부를 위해 일하거나 그 정부를 대표하거나 대행하는 고위 관리나 사람에 대해서는 강제적인 2차 제재 요건이 있을 수 있다.”라고 밝혔다.

대변인은 테러리스트들의 자금조달을 차단하고 자금세탁 방지하는 것이 훔친 자금으로 자금세탁을 막는 중요한 초크 포인트라고 언급하며, 가상자산업계에 이러한 종류의 안전장치를 이행할 것을 요구했다.

 

<다이제스트 포인트>

  • 디파이 생태계가 성장함에 따라 해커들의 목표물로 더 많은 주목을 받고 있으며 로닌 브릿지와 같이 중앙화의 정도가 높은 목표물들은 일찌기 비탈릭 부테린이 예견한대로 51% 공격의 목표물이 되어가고 있다.
  • 해킹으로 탈취한 테러자금에 대한 제재 수위가 높아지게 된다면 디파이 업계에도 영향이 있을 것으로 예상된다.

 

<주의사항>

본 글에 기재된 내용들은 작성자 본인의 의견을 정확하게 반영하고 있으며 외부의 부당한 압력이나 간섭 없이 작성되었음을 확인합니다. 작성된 내용은 작성자 본인의 견해이며, (주)크로스앵글의 공식 입장이나 의견을 대변하지 않습니다. 본 웹사이트를 통해 제공되는 정보는 투자 자문이나 권유에 해당하지 않습니다. 별도로 명시되지 않은 경우, 투자 및 투자전략, 또는 기타 상품이나 서비스 사용에 대한 결정 및 책임은 사용자에게 있으며 투자 목적, 개인적 상황, 재정적 상황을 고려하여 투자 결정은 사용자 본인이 직접 해야 합니다. 보다 자세한 내용은 금융관련 전문가를 통해 확인하십시오. 과거 수익률이나 전망이 반드시 미래의 수익률을 보장하지 않습니다.