DMM 비트코인 해킹한 북한 해커
최근 발표된 자료에 따르면, 일본의 암호화폐 거래소 DMM 비트코인(DMM Bitcoin)이 2024년 5월 발생한 대규모 해킹 공격으로 약 4,502.9 비트코인(BTC)을 탈취당하며 당시 시세로 약 3억 5백만 달러(한화 약 4,800억 원)에 달하는 피해를 입었습니다. 이는 역대 가장 큰 규모의 암호화폐 해킹 사건 중 하나로 기록되었으며, 미국 연방수사국(FBI)은 이 사건의 배후로 북한 정부와 연계된 해커 그룹 트레이더트레이터(TraderTraitor)를 지목했습니다.
사건의 배경과 진행 과정
이번 공격은 2024년 3월 말, 트레이더트레이터 소속 해커가 일본의 암호화폐 지갑 소프트웨어 회사 ‘진코(Ginco)’의 한 직원을 타깃으로 삼으면서 시작되었습니다. 해커는 링크드인(LinkedIn)을 통해 채용 담당자로 가장해 피해 직원에게 접근했으며, 직무 적합성 검사를 명목으로 깃허브(GitHub)를 통해 특정 파이썬(Python) 코드를 실행하도록 요청했습니다. 그러나 이 코드는 컴퓨터를 감염시키는 악성코드로 밝혀졌습니다.
악성코드로 감염된 피해자의 컴퓨터를 통해 진코의 내부 네트워크에 접근한 해커는 이후 DMM 비트코인의 네트워크로 횡적 이동(Lateral Movement)을 시도했습니다. 이 과정에서 세션 쿠키 정보를 활용해 피해 직원으로 위장했으며, 이를 통해 내부 시스템에 접근해 승인된 거래 요청을 조작하여 총 4,502.9 BTC를 탈취한 것으로 확인되었습니다.
DMM 비트코인의 대응과 결과
DMM 비트코인은 사건 직후 모든 계좌 등록, 암호화폐 출금, 거래 기능을 중단하며 조사를 진행했습니다. 그러나 복구 노력에도 불구하고 회사는 재정적 손실과 신뢰도 하락으로 인해 정상적인 운영이 불가능하다고 판단, 2024년 12월 폐업을 선언했습니다. 고객 보호를 위해 고객 계좌와 자산은 SBI VC 트레이드(SBI VC Trade)로 이관되었습니다.
암호화폐 산업에 주는 교훈
이번 사건은 암호화폐 거래소와 관련 업계에 다음과 같은 중요한 시사점을 제공합니다:
- 사회공학적 공격의 위험성
- 해커가 채용 담당자로 가장해 직원에게 접근한 것은 사회공학적 공격의 전형적인 사례입니다. 직원 대상의 보안 교육과 정기적인 모의 훈련이 이러한 위협을 방지하는 데 필수적입니다.
- 네트워크 보안 강화의 중요성
- 악성코드를 통한 네트워크 감염 및 횡적 이동은 강력한 네트워크 접근 제어와 정기적인 보안 점검으로 방지할 수 있습니다.
- 국제적 협력 필요성
- 북한 해커 그룹의 활동은 국제 사회에 심각한 위협으로 부상하고 있습니다. 글로벌 협력을 통한 추적과 대응 체계 강화가 필요합니다.
- 고객 보호 및 위기 관리
- 거래소는 사고 발생 시 고객 자산 보호와 신속한 복구 계획을 마련해야 합니다. 보험 가입 및 위기관리 체계 구축이 신뢰 회복에 중요합니다.
DMM 비트코인 해킹 사건은 암호화폐 산업의 취약성과 보안 체계의 개선 필요성을 다시 한번 강조하는 사례입니다. 거래소와 관련 기업들은 이번 사건을 교훈 삼아 보안 체계를 강화하고, 사회공학적 공격과 내부자 위협에 대한 방어 능력을 키워야 할 것입니다. 이를 통해 고객 신뢰를 회복하고, 더욱 안전한 암호화폐 생태계를 구축할 수 있을 것입니다.