사진 = 일본 경찰청 공식 홈페이지

일본 경시청이 공식 홈페이지를 통해 지난 5월말 발생했던 DMM비트코인 거래소 482억엔(약 4230억원) 해킹 사태에 대해 북한의 소행으로 특정하는 내용이 담긴 공식 발표를 24일 공개했다.

경시청은 관동관구 경찰국 사이버특별수사부 및 경시청의 수사 분석 결과를 종합적으로 평가한 후 미국 연방수사국(FBI)와 미국 국방성 사이버범죄센터(DC3)와 함께 합동으로 문서를 공표했다. 해당 문서는 북한을 배경으로 하는 사이버 공격 그룹 '트레이더 트레이터(Trader Traitor)'가 해당 금액의 암호자산을 거래소로부터 절취했다는 내용이 골자다.

경시청은 이와 함께 NISC, 금융청이 해당 해킹 집단의 수법과 사례, 대처에 대한 문서도 함께 공표했다.

공식 문서에 따르면 '트레이더 트레이터'는 북한 총무성 직속 조직이었던 라자루스 그룹(Lazarus Group)의 일부로 인식되고 있다. 해킹 수법도 라자루스와 유사한 '표적형 소셜 엔지니어링'이 언급됐다. 표적형 소셜 엔지니어링은 인간적인 개인 관계를 형성한 후 보안 관련 사항을 절취하는 형태를 의미한다. 

사진 = 일본 경찰청 공식 홈페이지

공개된 타임라인에 따르면 이들은 총 두 달에 걸쳐 이같은 행위를 진행했다.

올 3월 해커는 링크드인을 통해 리크루터로 위장해 DMM비트코인 거래소의 보안 시스템을 담당하는 긴코(Ginco) 측 직원에게 접근했다. 이후 지갑 관리 시스템에 대한 접근권을 보유한 직원에게 깃허브상에 보관된 채용 프로세스의 시험을 가장한 파이썬 암호화폐 URL링크를 보내 해킹을 진행했다.

5월 중순 이후 해커는 피해를 입은 직원을 위장하기 위해 세션 쿠키 정보를 악용해 긴코 측의 암호화되지 않은 통신 시스템에 접근하는데 성공하고 이후 DMM비트코인 거래소 직원으로부터의 정규거래 요청을 조작해 4230억원 가량을 탈취해갔다. 

일본 경시청 측은 "FBI와 기타 미국 정부기관 및 국제 파트너와 연계해 지속적으로 북한에 이익을 초래하는 사이버 범죄 및 암호자산 절취를 포함한 위법 활동을 명확히, 엄정하게 대처해 나갈 것"이라고 발표했다.

한편 DMM비트코인 해킹 사건은 일본 내 세 번째 대규모 거래소 해킹 사태로 알려져 있다. 이 후유증으로 DMM 측은 웹3 사업이었던 시문 프로토콜도 종료한 것 아니냐는 반응이 지배적인 상황이며 해킹을 당한 거래소는 운영이 종료됐고, 고객 서비스가 SBI VC 트레이드 거래소로 이관된 상태다.

출처 : 비즈트리뷴