북한 해커, 305백만 달러 DMM 비트코인 강탈과 연결, 당국 확인

FBI, 일본 국가 경찰청, 그리고 국방부 사이버 범죄 센터는 북한 연계 해커들이 2024년 5월에 일본 암호화폐 거래소 DMM 비트코인에 대한 3억 5천만 달러의 사이버 공격을 주도한 것으로 파악했습니다.

12월 23일에 발표된 공동 성명은 이번 해킹 사건을 TraderTraitor 위협 그룹, 또는 Jade Sleet, UNC4899, Slow Pisces라고도 불리는 그룹의 소행으로 지목했습니다.

해커 뉴스에 따르면, 적어도 2020년 이래로 활동 중인 TraderTraitor는 악성 코드가 포함된 암호화폐 앱을 통해 Web3 회사를 표적으로 삼는 것으로 알려져 있습니다. 이 그룹은 종종 직업 테마의 사회공학 캠페인을 활용하거나 GitHub 프로젝트에 협력하는 척하여 악성 npm 패키지를 배포하고 도난을 촉진합니다.

당국은 DMM 비트코인 침해가 일본의 암호화폐 지갑 소프트웨어 회사인 Ginco에 대한 사회공학 공격에서 시작되었다고 밝혔습니다. 3월에는 북한의 한 요원이 LinkedIn 채용 담당자로 위장하여 Ginco의 한 직원과 함께 사전 채용 테스트로 위장된 악성 파이썬 스크립트를 공유했습니다.

직원이 스크립트를 개인 GitHub 계정으로 복사했을 때, 민감한 세션 쿠키 데이터가 노출되어 해커가 직원을 가장하고 Ginco의 커뮤니케이션 시스템에 침입할 수 있었습니다.

5월이 되자, 위협적인 행위자는 이 접근 권한을 이용하여 DMM 비트코인 직원의 합법적인 거래 요청을 조작하고 결국 4,502.9 BTC를 훔쳐갔습니다. 이 비트코인의 가치는 305백만 달러였습니다.

블록체인 정보 분석 회사 Chainalysis는 이러한 발견을 확인하고, 공격자들이 기반 시설 취약점을 악용하여 자금을 빼돌린 방법을 설명했습니다.

그들은 도난당한 암호화폐를 중개 주소, 비트코인 CoinJoin 믹싱 서비스, 그리고 브릿징 서비스를 통해 세탁한 후, 캄보디아의 HuiOne Group과 연관된 온라인 시장인 HuiOne Guarantee로 이전했습니다. HuiOne Group은 알려진 사이버 범죄를 촉진하는 업체입니다.

Finance Feeds는 DMM 비트코인이 영업을 중단하고 일본 금융 거물 SBI 그룹의 암호화폐 부문인 SBI VC Trade와 자산 및 고객 계좌를 2025년 3월까지 이전하기로 합의했다고 보도했습니다.

Finance Feeds는 또한 DMM 비트코인이 보유 자산들은 SBI로 이전되지만, 레버리지 거래 포지션은 포함되지 않을 것임을 명확히 했다고 보도했습니다. 고객들은 인계 전에 모든 개방된 포지션을 청산해야 합니다. 이 거래소는 전환이 완료되면 중단될 것임을 확인했습니다.

이 공개는 웹3 분야에서 지속적인 사이버 보안 위험을 강조하며, TraderTraitor는 전 세계 암호화폐 풍경을 타겟으로 하는 끊임없는 위협이 될 것입니다.