BitMEX 암호화폐 거래소의 보안팀은 라자루스 그룹의 운영 보안상 허점을 발견했다. 라자루스 그룹은 북한(DPRK) 정부가 후원하는 사이버 범죄 조직으로, BitMEX는 이 단체에 대한 대응 작전 조사를 통해 이들이 사용한 IP 주소, 데이터베이스, 추적 알고리즘 등을 포착했다.

해당 거래소의 보안 연구원들에 따르면, 최소 한 명의 해커가 실수로 자신의 실제 IP 주소를 노출했을 가능성이 매우 높으며, 이 IP 주소를 통해 해당 해커의 실제 위치가 중국 저장성 자싱시인 것으로 드러났다고 한다.

또한 BitMEX 연구진은 해킹 그룹이 사용하던 Supabase 데이터베이스 인스턴스에도 접근할 수 있었다고 밝혔다. Supabase는 애플리케이션에 간편한 인터페이스를 통해 쉽게 데이터베이스를 배포할 수 있는 플랫폼이다.

BitMEX, North Korea, Cybersecurity, Hacks, Lazarus Group
The BitMEX security team said that one of the hackers likely revealed their true IP address accidentally after failing to use the VPN regularly used to mask the IP address. Source: BitMEX

 보고서에 따르면, 분석 결과는 라자루스 그룹 내의 비대칭적인 운영 구조를 부각시켰다. 즉, 단순한 사회공학 기법으로 피해자들이 악성 소프트웨어를 다운로드하거나 고급 코드 익스플로잇에 노출되도록 유도하는 저숙련 팀과, 정교한 해킹 코드를 개발하는 고급 기술 해커들 간의 기술 수준 차이가 뚜렷하다는 것이다.

BitMEX 팀은 이러한 비대칭성이 북한 정부와 연계된 해킹 조직이 서로 다른 수준의 위협 역량을 지닌 하위 그룹들로 분열되어, 협력하며 사용자들을 속이고 있다는 신호라고 밝혔다.

BitMEX, North Korea, Cybersecurity, Hacks, Lazarus Group
Number of new malware infections caused by Lazarus hackers during the observational period. Source BitMEX

이번 보고서는 라자루스 그룹과 북한 연계 해커들이 연루된 대규모 해킹 사건, 사회공학 기반 사기, 블록체인 및 기술 기업 침투 등의 사례들이 잇따르는 가운데 발표되었다.

관련 기사: 북한 스파이, 허위 취업 면접 중 실수로 정체 드러나

미 연방 사법당국 및 각국 정부, 라자루스 그룹에 대해 경고음 울려

미 연방 사법당국과 전 세계 정부들은 북한(DPRK)과 연계된 해커들의 활동을 점점 더 면밀히 조사하고 있으며, 이들 위협 행위자들이 사용하는 여러 공통 사기 수법에 대해 경고음을 울리고 있다.

2024년 9월, 미국 연방수사국(FBI)은 북한 지원 그룹이 저지르는 사회공학적 사기 수법에 대해 경고를 발령했다. 이에는 가짜 취업 제안을 이용한 암호화폐 사용자 대상 피싱 공격도 포함되어 있다.

일본, 미국, 한국 정부는 2025년 1월 FBI의 경고에 동참하며 해당 해킹 활동을 금융 시스템에 대한 위협으로 규정했다.

 최근 블룸버그 보고서에 따르면, 주요 7개국(G7) 정상회담에서 라자루스 해킹 그룹의 위협과 북한 연계 조직이 초래하는 피해를 줄이기 위한 대응 전략이 논의될 가능성이 있다고 전해졌다.

 매거진: 라자루스 그룹이 즐겨 사용하는 익스플로잇 공개 — 암호화폐 해킹 분석