미국 연방수사국(FBI)은 일본 기반의 비트코인 거래소 Bitcoin.DMM.com을 대상으로 한 대규모 암호화폐 도난 사건에 대한 세부 정보를 공개했다. 이 사건은 북한 사이버 단체에 의해 발생했으며, 총 3억 8천만 달러에 달하는 비트코인이 사라졌다. FBI는 국방부 사이버 범죄 센터(DC3) 및 일본의 국가 경찰청(NPA)과 협력하고 있으며, 이 공격이 TraderTraitor라는 알려진 위협 그룹의 소행임을 확인했다.
트레이더트레이터 그룹은 제이드 슬리트(Jade Sleet), UNC4899, 슬로우 피시스(Slow Pisces) 등 다양한 별명으로 활동하고 있다. 해커들은 복잡한 작전을 통해 소셜 엔지니어링 전술을 이용한 후, DMM의 기업 지갑에서 4,502.9 비트코인을 무단으로 이체하는 데 성공했다.
사건은 2024년 3월 말부터 시작된 소셜 엔지니어링 캠페인으로, 북한 작전원들이 일본의 암호화폐 지갑 소프트웨어 회사인 진코(Ginco)의 한 직원을 급격히 표적화한 이후 전개되었다. 해커들은 링크드인을 통해 전문 리크루터로 가장해 접촉하였고, 이는 점차 전문 네트워킹 플랫폼이 사이버 공격에 사용되는 추세를 보여준다. 이 과정에서 해커들은 채용 과정으로 위장한 통신을 통해 신뢰를 구축했다.
중대한 타격은 해커들이 피해자에게 Github에 호스팅된 악성 파이썬 스크립트를 연결한 URL을 보내면서 발생했다. 피해자는 기술 인터뷰 절차에 따라 이 코드를 자신의 개인 Github 페이지에 복사하였고, 알고보니 이 스크립트는 악성 코드였다.
2024년 5월 중순, 해커들은 Github를 통해 확보한 권한을 이용하여 공격의 기술적 단계를 시작했다. 해커들은 세션 쿠키 정보를 악용하여 범죄에 연루된 Ginco 직원을 가장하며 회사의 통신 시스템에 접근하였다. 이를 통해 해커들은 합법적인 거래 요청을 모니터링하고 조작할 수 있었다.
실질적인 공격은 5월 말 초기에 시작되었으며, 해커들은 DMM 직원의 합법적인 거래 요청을 가로채고 이를 조작하여 4,502.9 비트코인을 무단으로 이체하였다. 이 금액은 그 당시 기준으로 약 3억 8천만 달러에 달하고, 해커들은 탈취한 자금을 계좌를 통해 정교하게 이동시켜 이 추적을 어렵게 만들었다.
이번 사건은 국제 법 집행 기관 간의 협력을 통해 대규모 암호화폐 도난 사건의 조사를 보여준다. FBI는 일본 국가 경찰청과의 긴밀한 협조를 통해 해킹 패턴과 자금의 흐름을 추적할 수 있었다. 이러한 협력은 국제적인 사이버 범죄에 대응하기 위해 필요한 중요한 조치임을 입증했다.
이번 사건은 북한이 암호화폐 도난을 통해 수익을 창출하려는 지속적인 노력을 강조하며, 이는 국제 안전 기관들에게 점차 우려의 대상이 되고 있다. 법 집행 관계자들은 이러한 공격이 단순히 고립된 사건이 아니라고 지적하고 있으며, 이는 국제 제재를 회피하기 위한 보다 광범위한 캠페인의 일환이라고 덧붙였다.