대한민국 외교부는 북한의 사이버 행위자들이 전 세계 여러 기관을 겨냥하고 손해를 입히고 있는 것과 관련해 2025년 1월 14일 한미일 공동성명을 발표하면서, 블록체인 기술 업계에 새로운 주의사항을 함께 공지했습니다. 본 포스팅에서는 공동성명의 내용을 다시 정리해봤습니다.
북한 암호화폐 탈취 및 민관 협력에 대한 한미일 공동성명(1.14)
한미일 3국 정부는 북한의 불법적인 대량살상무기(WMD) 및 탄도 미사일 프로그램에 사용되는 불법 수익 차단을 궁극적인 목표로 하여, 민간 업계 등을 대상으로 한 북한의 탈취를 예방하고 탈취 자금을 회수하기 위해 노력하고 있다.
3국 관계 당국에 의해 제재 대상으로 지정된 라자루스 그룹(Lazarus Group)을 비롯한 북한과 연관된 지능형 지속 공격(APT) 단체들은 수많은 사이버 범죄 행위를 자행하여 암호화폐를 탈취하고, 거래소, 가상자산 수탁 업체 및 개인 사용자들을 겨냥함으로써, 사이버 공간 내 악성 행동 양상을 계속해서 보여주고 있다.
3국 정부는 2024년 한 해에만 개별적 및 공동으로 다수의 암호화폐 탈취 사건을 북한 소행으로 지목한 바 있다.
- DMM Bitcoin : 3억 800만 달러
- Upbit : 5,000만 달러
- Rain Management : 1,613만 달러
- WazirX : 2억 3,500만 달러
- Radiant Capital : 5,000만 달러
미국 정부는 2024년 9월까지도 북한이 TraderTraitor, AppleJeus 등과 같은 악성 소프트웨어를 사용하여, 암호화폐 업계를 대상으로 위장된 사회공학적 공격을 자행했음을 관측했다. 한국 및 일본도 이와 유사한 북한의 동향과 전술을 주시해 왔다.
북한 정부가 암호화폐 도난을 용이하게 하는 데 사용하는 멀웨어 및 이러한 활동을 사이버 보안 커뮤니티는 "AppleJeus"라고 부른다.
대부분의 경우 Windows와 Mac 운영 체제에서 모두 볼 수 있는 악성 애플리케이션은 합법적인 암호화폐 거래 회사에서 온 것처럼 보이므로 개인을 속여 합법적인 것처럼 보이는 웹사이트에서 타사 애플리케이션으로 다운로드하게 한다. (출처 : CISA)
침해 사고 중 일부 사례는 암호화폐 회사 직원(종종 시스템 관리 또는 소프트웨어 개발/IT 운영(DevOps)에 근무)에게 다양한 커뮤니케이션 플랫폼에서 보내는 대량의 스피어피싱 메시지로 시작한다. 이러한 메시지는 종종 채용 노력을 모방하고 수신자가 악성 소프트웨어가 포함된 암호화폐 애플리케이션을 다운로드하도록 유도하기 위해 고소득 일자리를 제안하는데, 미국 정부는 이를 "TraderTraitor"라고 부른다.
TraderTraitor라는 용어는 Electron 프레임워크를 사용하는 Node.js 런타임 환경에서 크로스 플랫폼 JavaScript 코드를 사용하여 작성된 일련의 악성 애플리케이션을 설명한다. (출처 : CISA)
또한, 3국 정부 기관들은 다음과 같은 일자에 민간 부문에 내부자 위협을 가하는 북한의 IT 인력에 대해 다수의 공고문을 발표해왔다.
- 한국 : 2022년 12월 8일
- 미국 : 2022년 5월 16일, 2024년 5월 16일
- 일본 : 2024년 3월 26일
- 한미 공동 : 2023년 10월 18일
미국은 관련 정보 공유와 사건 대응을 촉진하기 위한 민관 협력 노력의 일환으로 다음을 새로이 설립했다.
- 불법 가상자산 공고 정보 공유 파트너쉽 (Illicit Virtual Asset Notification : IVAN)
- 가상자산 및 블록체인 정보 공유 및 분석센터 (Cryptoasset and Blockchain Information Sharing and Analysis Center : Crypto-ISAC)
- 안보 연맹 (Security Alliance : SEAL)
한미는 또한 북한의 불법 수익 창출 차단 민관 협력을 강화하기 위해 2022년 11월 17일, 2023년 5월 24일, 2024년 8월 27일 등 일련의 민관 심포지엄을 공동 주최하고 있다. 일본 금융청은 일본 암호화폐거래소협회(JVCEA)와 협력하여 관련 기업에 암호화폐 탈취 위험을 경고했고, 2024년 9월 26일과 12월 24일에는 자체 점검을 요청한 바 있다.
한미일 3국은 북한의 악의적 사이버 활동 및 불법 수익 창출에 대응하기 위해 북한 사이버 행위자들에 대한 제재 지정, 인도-태평양 지역 내 사이버 보안 역량 강화 등 협력을 지속해 나갈 것이다. 한미일은 다양한 3자 실무그룹들을 통해, 북한 사이버 위협에 대응하고 공조를 강화해 나겠다는 의지를 재확인한다.
공동성명 관련 원문은 외교부 보도자료에서 확인할 수 있습니다.
https://www.mofa.go.kr/www/brd/m_4080/view.do?seq=375801&page=1&pitem=10
북한 암호화폐 탈취 및 민관 협력에 대한 한미일 공동성명(1.14) 상세보기|보도자료 | 외교부
대한민국, 미국, 일본은 북한의 사이버 행위자들이 전 세계 여러 기관을 겨냥하고 손해를 입히고 있는 것과 관련, 블록체인 기술 업계에 새로운 주의사항을 함께 공지한다. 북한의 사이버
www.mofa.go.kr
'DFIR > BlockChain' 카테고리의 다른 글
| [기사] 암호화폐 추적으로 국가보안법 위반 입증해 (0) | 2025.01.27 |
|---|---|
| Tornado Cash 제제 철회 (0) | 2025.01.25 |
| 2024 SCANCTF 2차예선 SCAN Token WriteUp (0) | 2024.11.21 |
| 유명 믹싱 서비스 Samourai Wallet 법 집행기관에 의해 압수 후 폐쇄 (0) | 2024.04.29 |
| Bitcoin Fog Case, Daubert 논쟁에서 Chainalysis의 승리 (0) | 2024.04.12 |