약 180만 달러, 토르체인 통해 캄보디아 후이원 그룹 금융 자회사로 이동

북한 해커 조직 라자루스(Lazarus Group)가 전세계에서 탈취한 가상자산 일부를 캄보디아 소재의 금융서비스로 이동시켜 자금을 세탁한 정황이 포착됐다.

라자루스는 2007년 창설된 북한 정찰총국 소속의 해커 조직으로 작년에 발생한 사법부 전산망 해킹 사건의 주범으로 알려져 있다. 전 세계 주요 가상자산 거래소, 지갑 서비스와 다양한 디파이(DeFi; 탈중앙화 금융) 서비스를 대상으로 해킹 공격을 벌이고 있다. 매년 전세계에서 발생하는 가상자산 해킹사고의 절반 이상이 라자루스 등 북한 해커 조직 소행으로 확인되고 있다.

가상자산 추적분석 전문기업 클로인트의 CRC(크립토 리서치 센터)는 “라자루스가 관여한 전세계의 주요 해킹사고에 대한 자금 세탁 경로를 추적한 결과, 지난 6월 4일부터 이틀간 라자루스 탈취자금 중 약 180만 달러의 자금이 토르체인(Thorchain Network)을 통해 캄보디아 후이원 그룹 금융 자회사로 이동했다”고 밝혔다.

이 회사는 2021년 설립, 온라인 마켓플레이스로 부동산과 자동차 거래로 시작했으나, 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목을 받고 있다. 특히 ‘Pig Butchering’라는 자금세탁 기법을 이용했다. 이들이 운영하는 마켓플레이스는 텔레그램 기반의 수천 개 메시징 채널로 구성되어 있으며, 각 채널은 판매자가 독립적으로 관리하고 주요 결제 수단으로 암호화폐인 USDT 스테이블 코인이 사용된다.

이와 관련해 최근 영국의 일립틱 리서치(Elliptic Research)는 후이원 보증(Huione Guarantee)의 마켓플레이스에서 암호화폐 지갑을 이용해 최소 100억 달러 규모 거래가 일어났고, 상당부분이 자금세탁과 사기에 관련되어 있다고 밝힌 바 있다.

FBI는 2023년 8월 라자루스가 아토믹 월렛(Atomic Wallet), 코인스페이드(CoinsPaid), 알파포(Alphapo) 등 크립토 서비스 기업들로부터 1억 6천 만달러 이상의 가상자산을 탈취했다고 발표한 바 있다.

또 최근 로이터 통신은 해당 사건으로 탈취된 가상자산이 올해 후이원을 통해 자금세탁이 진행됐다고 발표한 바 있다. 아토믹 월렛과 알파포는 로이터의 논평 요청에 응답하지 않았으나 코인스페이드는 도난당한 3,700만 달러 상당의 가상자산이 후이원 페이 지갑으로 이동했다고 밝혔다.

2023년 11월 미국 재무부는 북한의 사이버 활동 관련 신규 제재를 발표하면서 ‘신바드’ 사이트를 재무부 해외자산통제국의 특별지정 제재대상 리스트에 올렸다. 이는 기존에 신바드 믹서 서비스를 이용해 자금 세탁을 했던 라자루스가 자금 세탁 루트가 막히면서 새로운 자금 세탁 루트로 탐색한 것으로 추정된다.

이에 따라 북한 라자루스 그룹은 전 세계에서 탈취한 암호화폐를 후이원 페이(Huione Pay) 서비스를 이용해 불법 자금을 전환하고 세탁한 자금 루트를 활용하는 것으로 의심되고 있다. 특히 금융규제가 상대적으로 느슨한 캄보디아를 노렸다는 점이 주목되고 있다.

후이원 페이(Huione Pay) 이사진인 훈 투(Hun To)는 “라자루스가 캄보디아의 느슨한 암호화폐 규제와 맞물려 국제 수사나 금융 제재를 무력화할 수 있다”고 우려했다.

유엔 마약범죄사무소의 전 동남아시아 지역 책임자인 제레미 더글라스는 “동남아시아 지역에 규제를 받지 않는 가상자산 서비스 업체와 ‘지하 은행’ 역할을 하는 온라인 카지노가 넘쳐 난다”고 언급했으며 “라자루스와 같은 해커 집단이 규제 정착 전 동남아 지역을 자금세탁 인프라로 최대한 활용할 것”이라고 예측했다.

한편 클로인트는 국내외의 수사기관과 가상자산 해킹 피해자를 대상으로 탈취자금 추적분석 서비스를 제공하고 있다. 가상자산 해킹 사건 발생 동향과 흐름을 신속하게 파악할 수 있는 ‘체인워처’ 서비스를 올해 2월에 출시했고, 하반기에는 전문적이고 체계적인 추적 분석이 가능한 가상자산 인텔리전스 도구인 ‘한터’를 출시할 예정이다.

[출처 : 보안뉴스]