연방 조사국(FBI)은 일본에 본사를 두고 있는 Bitcoin.DMM.com을 겨냥한 암호화폐 대규모 해킹 사건의 세부사항을 공개하였다. 이 공격으로 북한의 사이버 해커들에 의해 3억 8천만 달러 상당의 비트코인이 도난당했다. FBI는 국방부 사이버 범죄 센터(DC3)와 일본 국가 경찰청(NPA)과 협력하여 이 공격이 TraderTraitor라는 알려진 위협 그룹의 소행이라고 밝혔다. 이 해킹 그룹은 Jade Sleet, UNC4899, Slow Pisces 등 여러 별칭으로 활동하고 있다.
이번 공격은 링크드인에서의 사회 공학적 접근 방식으로 시작되었다. 해커들은 DMM과 중요한 금융 서비스를 제공하는 일본의 암호화폐 지갑 소프트웨어 회사인 Ginco에서 근무하는 직원을 목표로 삼았다. 이들은 정교하게 작정된 사회 공학 캠페인을 통해 해당 직원을 찾았고, 첫 접촉은 전문 리크루터로 변장하여 링크드인을 통해 이루어졌다.
해커들은 자신의 접근을 합리적으로 보이도록 하기 위해 일반적인 채용 절차로 가장하여 소통하였으며, 이는 최근 사이버 공격에서 전문 네트워킹 플랫폼을 활용한 신뢰할 수 있는 첫 접촉을 설정하는 추세를 보여준다. 해커들은 이 직원에게 GitHub에 호스팅된 악성 파이썬 스크립트의 URL을 보내어 이를 코딩 테스트로 위장하였다.
해당 피해자는 일반적인 기술 면접 절차처럼 보여진 이 요청에 따라 파이썬 코드를 자신의 개인 GitHub 페이지에 복사하면서 악성 스크립트를 실행하게 되었다. 이후, 해커들은 중반 2024년 5월, 이 악성 GitHub 코드를 통해 권한을 확보한 후 기술적 공격 단계로 나아갔다.
해커들은 세션 쿠키 정보를 악용하여 위반된 Ginco 직원으로 위장하고 회사의 통신 시스템에 접근하였다. 이 단계에서는 합법적인 거래 요청을 모니터링하고, 조작할 수 있는 기반이 마련되었다. 공격이 시행된 것은 5월 말로, 해커들은 DMM의 직원에게서 Legitimate transaction request를 확보한 후, 이를 조작하여 4,502.9 비트코인, 즉 당시 가치로 3억 8천만 달러에 해당하는 대규모 자금을 무단으로 이체하였다.
훔친 자산은 TraderTraitor 그룹이 관리하는 여러 지갑으로 체계적으로 이동되었으며, 이 과정은 당국의 자금 회수를 극도로 어렵게 만들었다. 이번 다수의 암호화폐 도난 사건 조사는 국제 법 집행 기관 간의 협력의 중요성을 강조하고 있으며, FBI는 일본 국가 경찰청과 DC3와의 긴밀한 협력을 통해 사이버 위협에 대해 세계적인 대응 방식이 필요함을 실감하고 있다.
이런 협력은 훔친 자산의 이동 경로를 추적하고, TraderTraitor 그룹의 특징적인 공격 패턴을 식별하는 데 매우 중요했다. 이번 사건은 북한이 암호화폐 도난을 통해 수익을 창출하려는 지속적인 노력을 보여주며, 이는 국제안보 기관들에게 점점 더 심각한 우려사항이 되고 있다. 법 집행 당국은 이러한 공격들이 단순한 개별 사건이 아니며, 대신 국제 제재를 우회하기 위한 광범위한 캠페인의 일환이라고 지적하고 있다.
