블록체인 분석기업인 체이널리시스(Chainalysis)가 지난 9월 8일(현지시간) 북한 연계 해킹 조직의 가상화폐 탈취 방법에 대해 공개했다. 
 

체이널리시스는 북한 연계 해커들이 총 다섯 단계에 걸쳐 가상화폐를 탈취하고 세탁해 보유 자산으로 전환한다고 설명했다. 
다섯 단계는 ▲탈취한 이더리움 취합 ▲취합된 이더리움 쪼개 흔적 없애기(믹서) ▲쪼개진 이더리움을 비트코인으로 각개 교환 ▲각개로 교환된 비트코인을 일괄적으로 혼합 ▲가상화폐-현금 전환 서비스를 통한 인출로 구성된다. 
체이널리시스는 북한 연계 해커 조직이 가상화폐 세탁 시 1만 2천 개가 넘는 지갑(계좌) 주소를 사용했다고 언급하기도 했다. 1만 2천 개 이상의 가상화폐 지갑 주소를 이용해 북한 연계 해커들이 탈취한 자산의 금액적 가치는 10억 달러(한화 약 1조 3,917억 원)로 추정됐다. 
 

북한 연계 해커 조직의 가장 대표적인 가상화폐 탈취 사건은 지난 4월 발생했다. 
북한 연계 대표 사이버범죄 집단인 라자루스 그룹(Lazarus Group)은 지난 4월 14일(현지시간) 블록체인 게임인 액시 인피니티(Axie Infinity) 내 가상화폐를 주고받는 네트워크인 로닌(Ronin)을 해킹해 당시 환율로 7,400억 원 상당의 6억 달러를 빼돌렸다.
지난 2021년의 경우 북한발 해킹이 피싱 유인과 코드 공격 방식으로 총 일곱 차례 발생했으며, 4억 달러(한화 약 4,786억 원)의 가상화폐가 탈취됐던 것으로 전해졌다. 북한 발 가상화폐 탈취가 잦아짐에 따라 미국 재무부와 국무부는 지난 4월 이후 추적에 고삐를 당겼다.
 

미국 재무부 산하 해외자산통제국(OFAC)는 지난 4월 로닌네트워크 내 6억 달러 상당 가상화폐 탈취 사건 이후 지갑 주소를 공개하는 방식을 통해 특별지정제재대상(SDN)에 라자루스 그룹을 포함시켰다.
국무부의 경우 지난 7월말 북한 연계 해킹 단체 관련 정보에 대한 현상금으로 최대 1천만 달러(한화 약 130억 원)를 내걸었다. 당시 미국 국무부는 라자루스 그룹 이외에 총 5개의 해킹 집단이 북한과 연결됐다고 언급하기도 했다.
북한 연계 해커들의 가상화폐 산업 침투는 위장 취업을 통해서도 일어나는 것으로 확인됐다. 
 

미국 경제매체인 블룸버그(Bloomberg)는 지난 8월 1일(현지시간) 가상화폐 거래소 위장 취업을 위해 구직 플랫폼 ‘링크드인’에서 허위 이력서로 직업을 구하는 북한 해커들의 활동이 포착됐다고 보도했다.
블룸버그는 미국의 사이버 보안업체인 맨디언트(Mandiant)의 자료를 인용해 북한 해커들이 비북한 국적자로 위장해 해외에서 프리랜서 일자리를 얻으려 하고 있다고 짚었다. 
북한 해커들은 구직 활동을 위해 모바일 애플리케이션과 게임 개발 및 가상화폐 거래소 구축 관련 직무 경험이 있다고 이력서에 작성하는 것으로 파악됐다. 블룸버그는 북한 인력이 주로 중국과 러시아에 있으며 일부는 아프리카와 동남아시아에 위치한다고 전하기도 했다.
 

한편 미국 사이버 보안 및 인프라 보안국(CSIA)은 지난 4월 북한 발 사이버 공격이 도우 또는 맥 운영체제에 맞게 설계된 트로이목마 바이러스를 설치하는 방법을 통해 행해지고 있다고 분석했다.
당시 미국 사이버 보안 및 인프라 보안국은 “북한 사이버 공격은 정권을 지원하고 자금 창출 및 세탁을 위해 가상화폐 기업과 블록체인 게임 업체 및 거래소의 취약성을 노리고 있다”라며 “해킹은 악성코드를 유포하고 개인정보를 취득하는 부정한 방법을 통해 이뤄지고 있다”라고 강조했다.