해킹한 코인 믹싱해 수차례 자금 세탁
지난해 가상자산 탈취로만 8000억 원을 벌어들인 북한의 구체적인 해킹 수법이 공개됐다. 해킹한 코인을 동결할 수 없는 블록체인에 연결, 자금을 믹싱해 중앙화 거래소로 이동하는 방식이다. 이 과정에서 이중·삼중의 자금 세탁을 거쳤다.
20일 블록체인 분석기업 체이널리시스는 북한 연계 해커의 디파이 프로토콜 큐빗 해킹 사례 공개를 공개했다. 큐빗은 BNB 체인을 기반으로 구축된 디파이 대출 프로토콜로, ‘큐브리지’(QBridge)라는 프로토콜을 통해 사용자가 다른 체인의 자산을 BNB 체인으로 이동하지 않고 큐빗에서 빌릴 수 있도록 하는 서비스를 제공했다.
해커들은 큐브리지를 관리하는 코드에서 취약점을 발견해, 큐브리지의 보유 자산 중 약 8000만 달러(약 1000억 원) 상당의 자금을 유출했다. 지난해 국내 가상자산 탈취 사건으로는 최대 규모이다.
북한 해커들은 도난 당시 프로토콜이 보유한 약 8000만 달러 상당의 자산(대부분 BNB 코인과 소수의 BEP-20 토큰)을 빌리기 위해 무제한 발행한 ‘qXETH’ 토큰을 담보로 사용한 후, 해당 자금을 이더리움 블록체인에 연결했다.
이후 탈취 자금은 가상자산 믹싱 플랫폼 토네이도 캐시 (Tornado Cash)로 보내졌다. 믹싱이란 자금 추적이 불가능하도록 여러 지갑의 가상자산을 쪼개거나 섞는 기술을 말한다. 토네이도 캐시는 지난해 8월과 11월 미국 정부로부터 제재를 받은 바 있다.
해커들은 토네이도 캐시에서 믹싱 과정을 거친 이더리움을 받아 그중 일부를 탈중앙화 거래소로 보내 다른 ERC-20 토큰으로 교환했다. 이후 나머지는 다양한 중앙화 거래소의 예금 주소로 이동시켰다.
이러한 움직임은 체이널리시스 블록체인 분석 툴인 리액터와 스토리라인을 통해 확인됐다. 큐빗 해킹의 경우 체이널리시스와 국가정보원 산하 국제범죄정보센터(TCIC)가 협력해 도난당한 자금을 추적했다.
체이널리시스 측은 북한의 해킹 범죄가 가상자산 산업에 위협이 되고 있지만, 사법기관과 국가안보기관의 대응 능력 역시 갈수록 높아지고 있다고 분석했다.
실제로 미국 정부는 엑시 인피니티 해킹 피해액 중 3000만 달러(약 368억4900만 원)을 거둬들였다. 노르웨이 수사 당국은 지난해 3월 북한 해커조직 라자루스가 탈취한 가상자산 중 6000만 노르웨이 크로네(약 75억 원) 어치를 압수했다.
블록체인은 모든 거래가 온체인에 기록되므로, 앞으로 이와 같은 사례가 더 많이 나올 것으로 보인다. 체이널리시스는 수사기관이 자금 세탁 서비스를 가상자산 생태계에서 차단하려는 노력과 더불어 수사 역량이 강화되면, 해킹은 해가 갈수록 더 성공하기 어려워질 것으로 보인다고 분석했다.
백용기 체이널리시스 한국 지사장은 “향후 더 많은 해킹 사례를 수사할 수 있도록 긴밀한 협력을 계속할 것”이라며, “앞으로도 블록체인의 고유한 투명성을 통한 가상자산 시장의 신뢰 재건을 위해 최선을 다하겠다”고 말했다.