※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.
원문 참고 : https://blog.plainbit.co.kr/kimsuky-bitcoin-address-tracking/
1. 한미 정부 합동 보안권고문 발표
2023년 6월 2일, 한미 양국은 대표적인 북한 해킹 조직으로서 전세계를 대상으로 정보 및 기술을 탈취해온 '김수키(Kimsuky)'에 대한 한미 정부 합동 보안권고문을 발표했다. 그리고 우리 정부는 김수키를 세계 최초로 대북 독자제재 대상으로 지정했다. 이와 관련된 글은 아래 링크를 통해 확인할 수 있다.
북한 정권을 위해 정보·기술 탈취해 온 해킹조직 ‘김수키’ 겨눈다 상세보기|보도자료 | 외교
북한 정권을 위해 정보·기술 탈취해 온 해킹조직 ‘김수키’ 겨눈다 - 북한 해킹조직 ‘김수키’에 대한 한미 정부 합동 보안권고문 발표로 경각심 제고우리 정부, 세계 최초로 ‘김수키’를
www.mofa.go.kr
이번 합동 보안권고문을 발표하면서 김수키 그룹의 소유로 알려진 아래 비트코인 주소 2개를 함께 공개했는데, 아쉽게도 비트코인 주소를 획득하게 된 경위에 대해서는 밝혀지지 않았다. 본 글에서는 해당 비트코인 주소에서 발생한 트랜잭션을 추적해서 자금 전송 과정에서 어떤 특징을 가지고 있는지 파악하고자 한다.
- bc1qmkh9s8qju9tkk2qckcz79we2084h2ckeqxylnq
- bc1qu9303km9mnq03hxehvtf2tzchvmkqnzyzm928d
2. bc1qmkh9s8qju9tkk2qckcz79we2084h2ckeqxylnq
| 목록 | 값 |
|---|---|
| Address Hash | bc1qmkh9s8qju9tkk2qckcz79we2084h2ckeqxylnq |
| Balance (BTC) | 0 |
| Transactions | 9 |
| Cluster Name | - |
| Cluster Identifier | 994137850 |
| Number of Addresses in Cluster | 1 |
| BitRank Score | 0 , High Risk |
| Entities and Flags | Kimsuky(Hacker Group) , North Korea |
| Received Transactions | 7 |
| Sent Transactions | 2 |
| Received Amount (BTC) | 0.122 |
| Sent Amount (BTC) | 0.122 |
| First Seen Receiving (UTC) | 2022-04-04 02:22:08 |
| Last Seen Receiving (UTC) | 2022-04-05 08:32:52 |
| First Seen Sending (UTC) | 2022-04-04 04:23:41 |
| Last Seen Sending (UTC) | 2022-04-05 08:41:19 |
2-1) 자금 수신 경로 추적
분석 대상 주소에서는 수신 트랜잭션이 7회, 송신 트랜잭션이 2회 발생했다. 수신 트랜잭션 중 6회는 [그림 1]과 같이 국내 거래소인 Upbit에서 자금이 전송된 것으로 식별됐다. 전송된 액수가 크지 않다는 점, 국내 거래소에서 전송되었다는점을 보면 Kimsuky에 의해 피해를 입은 국내 피해자들이 전송했을 가능성이 높을 것이다.
나머지 하나인 트랜잭션의 송신 주소는 특정한 그룹으로 식별되지 않았는데, 약 9천 건의 트랜잭션 기록을 가지고 있으며 다른 수신 트랜잭션이 모두 같은 거래소로부터 전송된 것임을 미루어 봤을 때, 해당 주소 또한 거래소 소유의 주소이고 그 중에서도 Upbit일 가능성이 높다고 볼 수 있다.
2-2) 자금 송신 경로 추적
분석 대상 주소에서 발생한 송신 트랜잭션을 봤을 때, 주소 포맷이 분석 대상 주소와 다른 3으로 시작하는 주소 2개를 지불 주소로, 나머지 주소는 잔금 주소로 판단했다. 잔금 주소에서 발생한 트랜잭션을 추적한 결과 QLUE에서 Lazarus 그룹으로 식별하고 있는 주소에 자금이 전송된 것을 확인할 수 있었다. 해당 주소는 아래와 같다.
- bc1qr2c54sdgze38u6sw7zc943hvclrash5sxj56ge
- bc1q37ex5mzap5aqtl4asep298lw9h2fwffa0s58t8
- bc1qs25ku78t0glg7m36z9zqqwnlkmqepyr67r4pek
지불 주소로 전송된 자금은 다수의 input과 단일 output을 가지는 트랜잭션으로 전송됐는데, input 주소의 포맷이 모두 동일한 것으로 봤을 때 지갑에 존재하는 주소의 자금을 한 곳으로 모으는 방법인 Sweep을 한 것으로 판단했다.
Sweep 이후 전송된 트랜잭션을 추적한 결과 Peel Chain 형태의 트랜잭션이 반복되고 있는 것을 확인했다. 일반적인 Peel Chain의 경우 지불 주소 하나와 잔금 주소 하나가 반복되는 형태를 띄는 경우가 많은데, 분석 대상 트랜잭션은 대부분 output 주소가 3개인 경우가 많았으며 그 이상을 포함하는 경우도 많아 추적을 더욱 어렵게 만들고 있다. 따라서 본 분석에서도 자금의 끝을 추적하는 것보다 어떤 클러스터로 자금이 지속적으로 전송됐는지 확인하는 것에 초점을 뒀다.
Peel Chain 그래프를 어느 정도 확장해서 봤을 때, 자금이 주로 전송된 주소는 bitzlato 또는 whitebit 거래소 소유로 식별됐다. 그 외에도 paxful, ftx, discus_fish 등의 클러스터에 자금이 전송된 것을 확인했다. discus_fish는 중국 최대의 mining pool으로, f2pool이라는 이름으로도 알려져 있다.
Entitiy Explorer 조회 결과 중 일부
bitzlato는 홍콩에 위치한 거래소이고 느슨한 KYC 정책을 가지고 있는 것으로 알려졌다. 2018년부터 2022년까지 7억 달러 이상의 불법 자금을 처리한 것으로 알려졌으며, 2023년 1월 법 집행 기관 폐쇄 대상이 되어 웹 사이트가 압수되었고 설립자가 무면허 송금 사업 혐의로 체포되었다.
whitebit는 우크라이나에 위치한 암호화폐 거래소이고 주요 교환 플랫폼에서 충분한 KYC 절차가 적용되어 있다고 알려졌다. 또한 부정적인 언론 보도는 발견되지 않았다고 한다.
이어지는 내용은 회사 블로그를 참고해주세요^^
'Blog > 외부 Blog' 카테고리의 다른 글
| 당신의 암호화폐 프로그램은 안전한가요? (0) | 2024.05.30 |
|---|---|
| Sweeper Bot(스위퍼 봇) 소개 (0) | 2024.05.30 |
| 암호화폐 스캠이 발생하는 과정 (0) | 2024.05.30 |
| 북한이 유포한 랜섬웨어에 사용된 것으로 확인된 비트코인 주소 추적 (0) | 2024.05.30 |
| Apollo X 거래소 해킹 공격자 주소 추적 (0) | 2024.05.30 |