출처: 체이널리시스
편집자: Tao Zhu, Golden Finance
암호화폐 해킹은 지난 10년 중 4년(2018년, 2021년, 2022년, 2023년) 동안 10억 달러 이상의 암호화폐가 도난당하는 등 지속적인 위협으로 남아 있습니다. 2024년은 이 어려운 이정표에 도달한 지 5년이 되는 해로, 암호화폐 채택과 가격이 상승함에 따라 도난당할 수 있는 금액도 증가한다는 점을 강조합니다.
2024년 도난 자금은 22억 달러로 전년 대비 약 21.07% 증가했고, 개인 해킹 사건도 2023년 282건에서 2024년 303건으로 늘었다.
흥미롭게도 올해 상반기를 전후해 암호화폐 해킹의 강도가 달라졌습니다. 우리는 연도 중 범죄 업데이트에서 2024년 1월부터 7월 사이에 도난당한 누적 가치가 15억 8천만 달러에 이르렀다는 사실을 언급했습니다. 이는 2023년 같은 기간 동안 도난당한 가치보다 약 84.4% 더 높은 수치입니다. 아래 차트에서 볼 수 있듯이 생태계는 7월 말까지 쉽게 궤도에 올라 2021년과 2022년의 30억 달러 이상에 필적합니다. 그러나 2024년 암호화폐 도난의 증가 추세는 7월 이후 크게 둔화되었으며 그 이후로는 상대적으로 안정적으로 유지되었습니다. 나중에 우리는 이러한 변화에 대한 잠재적인 지정학적 이유를 탐구할 것입니다.
피해자 플랫폼 유형별 도난 금액 측면에서도 2024년에는 흥미로운 패턴이 나타났습니다. 2021년부터 2023년까지 대부분의 분기 동안 탈중앙화 금융(DeFi) 플랫폼은 암호화폐 해커의 주요 표적이었습니다. DeFi 플랫폼은 개발자가 보안 조치를 구현하는 것보다 빠른 성장과 제품 출시를 우선시하는 경향이 있어 해커의 주요 표적이 되기 때문에 공격에 더 취약할 수 있습니다.
2024년 1분기에도 DeFi가 도난 자산 중 가장 큰 비중을 차지했지만, 2분기와 3분기에는 중앙 집중식 서비스가 가장 많이 표적이 되었습니다. 가장 주목할만한 중앙 집중식 서비스 해킹으로는 DMM Bitcoin(2024년 5월, 3억 500만 달러) 및 WazirX(2024년 7월, 2억 3490만 달러)가 있습니다.
DeFi에서 중앙 집중식 서비스로의 초점 전환은 개인 키와 같이 해커가 일반적으로 사용하는 보안 메커니즘의 중요성이 커지고 있음을 강조합니다. 2024년에는 개인키 유출이 도난당한 암호화폐 중 가장 큰 비중을 차지해 43.8%에 달했다. 중앙 집중식 서비스의 경우 개인 키를 안전하게 유지하는 것은 사용자 자산에 대한 액세스를 제어하는 데 중요합니다. 중앙 집중식 거래소에서 관리하는 막대한 양의 사용자 자금을 고려할 때 개인 키 유출의 영향은 파괴적일 수 있습니다. 현재까지 가장 큰 암호화폐 침해 중 하나이며 개인 정보 부족으로 인해 발생할 수 있는 3억 500만 달러 규모의 DMM 비트코인 해킹만 살펴봐도 됩니다. 키 관리 또는 적절한 보안 부족.
개인 키를 유출한 후 악의적인 행위자는 탈중앙화 거래소(DEX), 채굴 서비스 또는 혼합 서비스를 통해 훔친 자금을 세탁하여 거래 추적을 난독화하고 추적을 복잡하게 만드는 경우가 많습니다. 2024년에는 개인 키 해커에 의한 자금 세탁이 다른 공격 벡터를 활용하는 해커에 의한 자금 세탁과 크게 다를 수 있습니다. 예를 들어, 개인 키를 훔친 후 이러한 해커는 브리징 및 하이브리드 서비스를 이용하는 경우가 많습니다. 다른 공격 벡터 중에서 탈중앙화 거래소는 자금세탁 활동에 더 일반적으로 사용됩니다.
북한 해커들은 2024년에 암호화폐 플랫폼에서 그 어느 때보다 더 많은 것을 훔칠 것이다
북한과 연계된 해커들은 정교하고 무자비한 전술로 악명 높으며, 국가 지원 활동에 자금을 지원하고 국제 제재를 회피하기 위해 첨단 악성 코드, 사회 공학, 암호화폐 절도를 자주 사용합니다. 미국과 국제 관리들은 북한이 훔친 암호화폐를 대량살상무기와 탄도미사일 프로그램에 자금을 조달하는 데 사용하여 국제 안보를 위험에 빠뜨리고 있다고 평가했습니다. 2023년까지 북한 관련 해커들은 20건의 사건을 통해 약 6억 6050만 달러를 도난당할 것이며, 이 수치는 47건의 사건을 통해 13억 4000만 달러로 증가하여 도난 금액이 102.88% 증가했습니다. 이 수치는 해당 연도 전체 도난 금액의 61%, 전체 사건 수의 20%에 해당합니다.
작년 보고서에서 우리는 북한이 20건의 해킹 공격을 통해 10억 달러를 탈취했다는 정보를 발표했습니다. 추가 조사 결과, 이전에 북한이 소행으로 지목한 특정 대규모 해킹 사건이 더 이상 관련성이 없을 수 있다고 판단하여 해당 금액을 6억 6,050만 달러로 줄였습니다. 그러나 북한에 의한 다른 소규모 해킹이 발견되면서 사건 건수는 동일하게 유지되었습니다. 우리의 목표는 새로운 온체인 및 오프체인 증거를 확보하면서 북한 관련 해킹 사건에 대한 평가를 지속적으로 재평가하는 것입니다.
안타깝게도 북한의 암호화폐 공격은 점점 더 빈번해지고 있는 것으로 보입니다. 아래 차트에서 우리는 익스플로잇 규모에 따라 북한 공격이 성공하기까지의 평균 시간을 조사한 결과 모든 규모의 공격이 해마다 감소한다는 사실을 발견했습니다. 특히 2023년에 비해 2024년에는 5천만~1억 달러, 1억 달러 규모의 공격 빈도가 훨씬 높아져 북한의 대규모 공격이 점점 더 빨라지고 있음을 알 수 있다. 이는 매번 수익이 5천만 달러 미만인 경우가 많았던 이전 2년과 완전히 대조됩니다.
북한의 활동을 우리가 모니터링하는 다른 모든 해킹 캠페인과 비교해 보면, 지난 3년 동안 대규모 공격의 대부분이 북한에 책임이 있다는 것이 분명합니다. 흥미로운 점은 북한 해킹 규모가 줄고, 특히 1만달러 안팎의 해킹 밀도도 높아지고 있다는 점이다.
이러한 사건 중 일부는 점점 더 암호화폐 및 Web3 회사에 침투하여 네트워크, 운영 및 무결성을 손상시키는 북한 IT 실무자와 관련이 있는 것으로 보입니다. 이러한 직원은 허위 신원 확인, 제3자 채용 대행사 고용, 원격 근무 기회 조작 등 정교한 전술, 기술 및 절차(TTP)를 사용하여 액세스 권한을 얻는 경우가 많습니다. 최근 미국 법무부(DOJ)는 미국에서 원격 IT 실무자로 일하는 북한 국적자 14명을 기소했다. 기업들은 독점 정보를 훔치고 고용주를 협박하여 8,800만 달러 이상을 벌었습니다.
이러한 위험을 완화하기 위해 기업은 배경 조사 및 신원 확인을 포함한 철저한 고용 실사를 우선시하는 동시에 해당되는 경우 중요한 자산을 보호하기 위해 강력한 개인 키 보안을 유지해야 합니다.
이러한 모든 추세는 올해 북한이 매우 활발하다는 것을 의미하지만, 대부분의 공격은 연초에 발생했으며, 앞의 차트에서 볼 수 있듯이 전반적인 해킹 활동은 3분기와 4분기에 정체되었습니다.
2024년 6월 말에는 블라디미르 푸틴 러시아 대통령과 김정은 북한 국무위원장이 평양에서 정상회담을 갖고 상호방위협정을 체결할 예정이다. 올해 들어 지금까지 러시아는 유엔 안전보장이사회의 제재에 따라 동결된 북한 자산 수백만 달러를 공개해 양국 간 동맹 강화를 예고했습니다. 한편 북한은 우크라이나에 군대를 배치하고 러시아에 탄도미사일을 공급했으며 모스크바로부터 첨단 우주, 미사일, 잠수함 기술을 모색한 것으로 알려졌다.
2024년 7월 1일 전후 북한 취약점으로 인한 일일 평균 손실을 비교해 보면 도난당한 가치의 양이 크게 감소한 것을 확인할 수 있습니다. 아래 그림과 같이 북한이 도난당한 금액은 약 53.73% 감소한 반면, 북한 이외의 사람이 도난당한 금액은 약 5% 증가했습니다. 따라서 최근 몇 년간 러시아와의 협력을 대폭 강화한 북한은 군사 자원을 우크라이나 분쟁에 투입하는 것 외에도 사이버 범죄 활동에도 변화를 가져왔을 가능성이 있다.
2024년 7월 1일 이후 북한 절도 감소세는 분명하고 시기도 분명하지만, 이러한 감소가 반드시 푸틴 대통령의 평양 방문과 관련이 있는 것은 아니라는 점은 주목할 만하다. 또한 12월의 일부 이벤트로 인해 연말에 이 패턴이 바뀔 수 있으며, 공격자는 휴일 동안 공격을 시작하는 경우가 많습니다.
사례 연구: 북한의 DMM 비트코인 공격
2024년 북한 관련 해킹의 주목할 만한 사례 중 하나는 일본 암호화폐 거래소 DMM 비트코인이었는데, 이 거래소는 당시 해킹으로 인해 약 4,502.9 비트코인(당시 3억 500만 달러 상당)이 손실되었습니다. 공격자들은 DMM이 사용하는 인프라의 취약점을 표적으로 삼아 무단 인출이 발생했습니다. 이에 DMM은 그룹사의 지원을 받아 등가 자금을 찾아 고객 예치금을 전액 지급했습니다.
우리는 초기 공격 이후 온체인 자금 흐름을 분석할 수 있었고, 첫 번째 단계에서는 공격자가 결국 Bitcoin CoinJoin 혼합 서버에 도달하기 전에 DMM Bitcoin에서 여러 중간 주소로 수백만 달러 상당의 암호화폐를 이동시키는 것을 확인했습니다.
공격자들은 비트코인 코인조인 믹싱 서비스를 이용해 훔친 자금을 믹싱하는데 성공한 후 일부 브리징 서비스를 통해 해당 분야의 주요 플레이어인 캄보디아 대기업 Huione Group과 연계된 온라인 마켓플레이스인 Huioneguarantee로 자금 일부를 옮겼습니다. 사이버 범죄를 조장합니다.
DMM 비트코인은 자산과 고객 계정을 일본 금융그룹 SBI 그룹의 자회사인 SBI VC Trade로 이전했으며, 전환은 2025년 3월 완료될 예정입니다. 다행히도 이러한 파괴적인 해킹이 발생하는 것을 방지하기 위해 다음 섹션에서 살펴볼 새로운 도구와 예측 기술이 등장하고 있습니다.
예측 모델로 해커 차단
고급 예측 기술은 잠재적인 위험과 위협을 실시간으로 감지하고 디지털 생태계를 보호하기 위한 사전 예방적 접근 방식을 제공함으로써 사이버 보안을 변화시키고 있습니다. 분산형 유동성 공급자인 UwU Lend와 관련된 아래 예를 살펴보겠습니다.
공격자는 2024년 6월 10일 UwU Lend의 가격 오라클 시스템을 조작하여 약 2천만 달러의 자금을 획득했습니다. 공격자는 여러 오라클에서 Ethena Staked USDe(sUSDe)의 가격을 변경하기 위해 플래시 대출 공격을 시작하여 잘못된 평가를 초래했습니다. 결과적으로 공격자는 단 7분 만에 수백만 달러를 빌릴 수 있습니다. Hexagate는 익스플로잇이 발생하기 약 이틀 전에 공격 계약과 유사한 배포를 탐지했습니다.
공격 계약은 취약점이 악용되기 이틀 전에 실시간으로 정확하게 탐지되었으나, 설계상 악용된 계약과의 연관성이 즉시 드러나지 않았습니다. 이러한 조기 탐지는 Hexagate의 보안 오라클과 같은 추가 도구를 통해 위협을 완화하는 데 더욱 활용될 수 있습니다. 특히, 820만 달러의 손실을 가져온 첫 번째 공격은 후속 공격이 발생하기 몇 분 전에 발생하여 또 다른 중요한 신호를 제공했습니다.
주요 온체인 공격 이전의 이러한 경고는 업계 플레이어의 보안을 변화시켜 비용이 많이 드는 해킹에 대응하기보다는 완전히 예방할 수 있게 해줍니다.
아래 이미지에서는 공격자가 훔친 자금을 OFAC 승인 Ethereum 스마트 계약 혼합기인 Tornado Cash에 도달하기 전에 두 개의 중간 주소를 통해 이동한 것을 볼 수 있습니다.
그러나 프로토콜이 효과적으로 조치를 취하기 위한 적절한 도구를 항상 갖추고 있는 것은 아니기 때문에 이러한 예측 모델에 대한 단순한 접근만으로는 해커로부터의 보호를 보장할 수 없다는 점은 주목할 가치가 있습니다.
더 강력한 암호화 보안이 필요함
2024년에 도난당한 암호화폐의 증가는 업계가 점점 복잡해지고 진화하는 위협 환경에 대응해야 할 필요성을 강조합니다. 암호화폐 도난 규모는 아직 2021년과 2022년 수준으로 돌아가지 않았지만 위에서 언급한 부활은 기존 보안 조치의 격차와 새로운 악용 방법에 적응하는 것의 중요성을 강조합니다. 이러한 과제를 효과적으로 해결하려면 공공 부문과 민간 부문 간의 협력이 중요합니다. 데이터 공유 프로그램, 실시간 보안 솔루션, 고급 추적 도구 및 대상 교육을 통해 이해관계자는 암호화 자산을 보호하는 데 필요한 탄력성을 구축하는 동시에 악의적인 행위자를 신속하게 식별하고 무력화할 수 있습니다.
또한 암호화폐에 대한 규제 프레임워크가 계속 발전함에 따라 플랫폼 보안 및 고객 자산 보호에 대한 정밀 조사가 강화될 가능성이 높습니다. 업계 모범 사례는 예방과 책임을 보장하기 위해 이러한 변화에 보조를 맞춰야 합니다. 법 집행 기관과 더욱 강력한 파트너십을 구축하고 팀에 신속하게 대응할 수 있는 리소스와 전문 지식을 제공함으로써 암호화폐 업계는 도난 방지 역량을 강화할 수 있습니다. 이러한 노력은 개인 자산을 보호하는 것뿐만 아니라 디지털 생태계에서 장기적인 신뢰와 안정성을 구축하는 데에도 중요합니다.
