북한 해커 조직 라자루스 그룹이 약 수억달러 규모 가상 자산 해킹 사건의 배후로 지목됐다. 이번 사건은 올해 들어 발생한 암호화폐 도난 가운데 가장 큰 규모다.
20일(현지 시각) 해킹 피해를 본 인프라 업체 레이어제로는 성명을 통해 이번 공격이 "북한 라자루스 그룹일 가능성이 높은 국가 차원의 행위자"의 소행으로 보인다고 밝혔다. 특히 라자루스 산하 조직으로 알려진 '트레이더트레이터(TraderTraitor)'를 유력한 주체로 지목했다.
블룸버그 등 외신도 라자루스 조직이 '켈프다오(KelpDAO)'를 공격해 약 2억9200만달러(약 4300억원)를 탈취했다고 전했다. 켈프다오는 이더리움(ETH) 계열의 디파이(DeFi) 프로젝트로, 사용자가 가상 자산을 맡기면 예치(스테이킹) 수익을 얻는 동시에 'rsETH'란 유동성 토큰을 대신 활용할 수 있는 구조다.
이번 해킹은 '원격 프로시저 호출(RPC)' 인프라를 표적으로 삼았다. RPC 인프라는 블록체인에서 사용자가 자산을 확인하거나 전송할 때 반드시 거쳐야 하는 통로로서 은행 창구와 같은 역할을 한다.
해커들은 여러 블록체인을 연결해 주는 시스템인 레이어제로의 일부 서버에 침입한 뒤, 정상 프로그램을 가짜 프로그램으로 바꿔치기한 것으로 보인다. 이후 정상 서버를 마비시키는 디도스(DDoS) 공격까지 시도해, 이용자 요청이 해커가 통제하는 서버로 몰리도록 유도했다. 그 결과 시스템은 위조된 거래를 정상으로 인식했고, 대규모 자산 유출로 이어졌다.
현재 켈프다오는 추가 피해를 막기 위해 주요 거래소 및 스테이블코인 발행사들과 협력 중이다. 하지만 해커들이 이미 자금 세탁의 검은 구멍이라 불리는 믹서 서비스를 통해 탈취한 자금을 은닉한 것으로 알려졌다. 전문가들은 이 경우 전액 회수는 사실상 어려울 것이라 보고 있다.
이번 사건을 두고 보안 설계 자체가 미흡했다는 비판도 나온다. 일반적으로 큰돈이 오가는 시스템은 여러 명의 검증관이 신분증을 대조하는 다중 검증 방식을 사용한다. 하지만 켈프다오는 운영의 편의성을 이유로 한 명의 검증관만 두는 단일 검증 구조를 유지했다.
북한의 가상 자산 해킹은 매년 늘어나고 있다. 블록체인 분석 업체 체이널리시스에 따르면 북한 해커들이 빼돌린 가상 자산은 2023년 약 6억6000만달러, 2024년 약 13억4000만달러, 지난해 약 20억2000만달러로 누적 피해액만 무려 67억5000만달러(약 10조원)에 달한다. 탈취 자금은 정권 유지 및 핵 개발 등에 활용되는 것으로 추정된다.