Home > 전체기사

2017년 워너크라이 사태 일으킨 라자루스의 세탁 경로 발견했다

  |  입력 : 2021-09-29 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한의 라자루스는 2017년 워너크라이 사태의 배후 세력으로 알려져 있다. 하지만 그들이 번 돈의 이동 경로는 흐지부지 사라졌다. 그러다가 한 블록체인 분석가가 팔을 걷어붙였다. 그리고 폐쇄적으로 악명 높은 모네로 생태계의 작은 구멍을 파고들었다.

[보안뉴스 문가용 기자] 암호화폐 거래소인 셰입쉬프트(ShapeShift)에 존재하는 취약점 때문에 북한 해커인 라자루스(Lazarus)의 돈 세탁 흔적이 드러났다. 동시에 프라이버시라는 가치관을 강조하는 모네로 생태계지만 구멍이 없지 않다는 사실도 공개됐다. 셰입쉬프트를 통해 모네로 거래를 한 사용자들은 라자루스처럼 추적당할 위험에 노출되어 있다.

[이미지 = utoimage]


사실 셰입쉬프트의 취약점은 오래 전부터 여러 사람들에 의해 지적되어 온 문제다. 그 중 한 사람이 독자적으로 블록체인과 암호화폐를 연구하는 닉 백스(Nick Bax)로, 그는 이번 주 자신의 블로그를 통해 자신이 연구해 알아낸 결과를 공개했다. 거래소에서 얻어낸 정보의 조각들을 이어 붙임으로써 특정 단체나 인물을 추적하는 게 가능하다는 내용이다. 이 문제는 셰입쉬프트에 국한된 문제가 아닐 가능성이 높다고 한다.

백스에 의하면 2015년 4월부터 2019년 11월까지 셰입쉬프트의 API는 32바이트짜리 ID를 사용해 왔다고 한다. 이 ID들은 모네로의 블록체인을 통해 입수할 수 있는 정보들이다. 즉 EAE 공격 기법을 사용할 경우 암호화폐를 통한 익명의 거래라도 추적하는 데 용이하다는 뜻이 된다고 백스는 설명한다. EAE 공격은 ‘포이즌드 아웃풋(poisoned output)’ 공격이라고도 알려져 있다.

이 사실을 인지한 셰입쉬프트 측은 2019년 11월부터 지불 ID라는 것을 사용하지 않기 시작했다. 대신 서브 어드레스를 채용했다. 서브 어드레스는 지불 ID처럼 공개되는 정보가 아니다. 따라서 EAE 공격도 불가능하게 된다. 하지만 지불 ID를 사용하는 셰입쉬프트의 API는 지난 주 금요일까지 사용이 가능한 상태였고, 따라서 누구나 거래 데이터를 다운로드 받아 모네로 거래를 추적할 수 있었다고 한다. 셰입쉬프트는 이 블로그 게시글이 올라오자 곧바로 API 문제를 해결했다고 발표했다.

모네로 전문가인 저스틴 에렌호퍼(Justin Ehrenhofer)는 닉 백스의 발표 내용에 대해 “이미 모네로 연구자들은 수년 전부터 알고 있던 내용”이었다고 말했다. 그래서 이 분야 종사자들이 서서히 문제를 해결하고 보안을 강력하게 가다듬어 왔다는 것이다. 에렌호퍼는 “모네로가 프라이버시 보호에 강점을 가지고 있다는 점은 변함없는 사실”이라고 강조했다.

셰입쉬프트는 그 동안 여러 언론에 오르내린 전적을 가지고 있다. 월스트리트저널의 경우 사이버 범죄자들이 악용하는 거래소로 셰입쉬프트를 거론했었다. 백스 자신도 이번 블로그 발표 전인 2020년 10월 셰입쉬프트 측에 ID와 API의 문제를 알렸다고 한다. 그리고 셰입쉬프트가 문제를 해결할 때까지 모든 것을 비공개로 유지했다. 그러다가 이 취약점이 워너크라이(WannaCry) 사태와 관련이 있음을 깨닫고 블로그에 게시글을 올린 것이라고 한다.

백스는 체이널리시스(Chainalysis)라는 암호화폐 생태계 분석 기업이 발표한 것으로 보이는 이탈리아 문건을 하나 얻게 되면서 셰입쉬프트의 문제가 심상치 않은 것임을 알게 되었다고 한다. 워너크라이 사태로 공격자들이 입수한 비트코인과 모네로의 거래 경로를 추적할 수 있었다는 내용을 담고 있는 문서였다. 하지만 이 문서가 정말 체이널리시스에서 만든 것인지는 확실치 않다.

백스가 블로그에 공개한 내용을 일부 요약하면 다음과 같다.
1) 워너크라이는 2017년 5월에 처음 등장했고, 2.5개월 동안 52 비트코인을 벌어들였다.
2) 2017년 8월 3일, 이 52 비트코인은 여러 개의 비트코인 주소로 이동하기 시작했다.
3) 같은 날 이 비트코인은 모네로로 변환됐다. 52 비트코인은 820.79942522 XMR로 바뀌었다.
4) 이렇게 변환함으로써 암호화폐의 추적은 어려워지는데, 이를 체인 호핑(chain hopping)‘이라고 부른다.
5) 이 때 일부 변환은 셰입쉬프트를 통해 이뤄졌다. 당시 셰입쉬프트는 사용자가 개인정보를 제공하지 않고도 거래할 수 있는 플랫폼이었다.

백스는 이 정보와 셰입쉬프트의 취약한 API를 활용해 워너크라이를 운영했던 라자루스가 어떤 경로로 자금을 이동시켰는지를 전부 파악할 수 있었다고 한다. 그에 따르면 라자루스는,
1) 또 다른 거래소인 체인질리(Changelly)를 통해 일부 자금을 변환시켰다.
2) 하지만 주로 셰입쉬프트를 활용해 자금 세탁에 들어갔다.
3) 2017년 8월 17일 셰입쉬프트에서 세 번의 거래를 통해 비트코인을 모네로로 바꾸었다.
4) 2017년 11월 2일, 셰입쉬프트에서 아홉 번의 거래를 통해 536 모네로를 비트코인 현금으로 바꾸었다.

보다 상세한 내용은 백스의 블로그(https://medium.com/@nbax/tracing-the-wannacry-2-0-monero-transactions-d8c1e5129dc1)에서 열람이 가능하다.

백스는 “암호화폐 생태계가 사이버 범죄자들에게 애용되고 있지만 ‘익명 거래’라는 특성 때문에 수사가 어렵기로 알려져 있다”고 말한다. “하지만 구멍이 없는 곳은 어디에도 없습니다. 이번 경우처럼 거래소를 통해 여러 가지 정보를 입수함으로써 거래자들을 추적하는 것도 가능합니다. 프라이버시 보호 기능이 가장 강력하다는 모네로에서도 거래자를 추적할 수 있습니다. 거래소의 적극적인 협조가 없다면 이런 방법들을 가지고도 공략이 가능하니 희망을 잃을 필요가 없습니다.”

백스는 라자루스를 추적하며 단 한 번도 불법적인 수단을 사용한 적이 없다고 강조했다.

3줄 요약
1. 모네로, 현존하는 암호화폐 중 가장 프라이버시 보호 기능이 강력한 코인.
2. 하지만 거래소에서 발견된 취약점 때문에 라자루스의 옛 세탁 흔적이 발견됨.
3. “세상에 구멍이 없는 시스템이 없으니, 추적을 포기해서는 안 됨.”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)