미국과 일본 수사당국이 지난 5월 일본에서 발생한 4500억원 상당의 대규모 비트코인 부정 유출 사건 배후로 북한 해커집단을 지목했다.
24일 요미우리신문 등 일본 주요 언론에 따르면 일본 경찰은 지난 5월 자국 가상자산거래소 ‘DMM 비트코인’에서 가상자산 482억엔이 빠져나간 사건에 대해 미국 국방부·연방수사국(FBI)과 연계 수사를 벌여 북한 해커 조직 ‘트레이더 트레이터(TT·Trader Traitor)’가 관여했다고 특정하고, 이를 공동 발표했다.
TT는 북한 정찰총국 소속 해커집단 ‘라자루스’의 조직 일부로 알려졌으며 2022년 4월부터 활동하고 있지만, 일본 내 피해가 확인된 것은 이번이 처음이다.
일본 경찰은 DMM 비트코인에서 유출된 비트코인의 흐름을 추적한 결과 트레이더 트레이터가 관리하는 계좌에 들어간 것을 찾아냈다. 북한 해커는 기업 채용 담당자로 위장해 DMM 비트코인 관계사 직원에게 접근한 뒤 컴퓨터에 악성 소프트웨어를 감염시켜 가상자산을 훔친 것으로 드러났다. 보도에 따르면 해커집단은 링크드인을 통해 관계사 직원에 ‘당신의 실력에 감명받았다’는 메시지를 보낸 뒤 ‘채용 전 기술 확인’이라는 명목으로 프로그램을 전송했다. 이를 실행한 직원의 컴퓨터는 바이러스에 감염됐고, 이런 방식으로 접근 권한을 얻은 해커들은 DMM 비트코인 시스템에 침입해 거래 금액과 송금처를 조작, 비트코인을 빼냈다. 유출된 비트코인은 자금 세탁 과정을 거쳤으나 일부는 FBI가 파악하고 있는 TT 관련 계좌로 이동한 것이 확인됐다. 관련 업체 직원과 접촉한 링크드인 계정, 해당 직원의 컴퓨터에 접속한 서버가 미 당국이 파악한 TT 관련 시설과 일치한다는 점도 주요 근거가 됐다. 일본 정부는 이를 바탕으로 8번째 ‘공격 주체 특정 비난 성명’, 일명 퍼블릭 어트리뷰션(Public Attribution)을 발표했다.
DMM 비트코인은 사건 직후 서비스가 제한됐으며 결국 이달 2일 폐업을 발표했다.
북한의 가상자산 탈취 규모는 매년 증가하고 있다. 유엔 안전보장이사회(안보리) 산하 대북제재위원회는 지난 3월 공개한 전문가 패널 연례 보고서에서 “2017∼2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 탈취한 금액이 약 30억 달러(약 4조원)로 추산된다”고 밝힌 바 있다. FBI는 TT가 지난해 8월까지 총 2억 달러 상당의 피해를 발생시킨 3건의 가상자산 탈취에 관여한 것으로 보고 있다.