가상자산 추적분석 전문기업 클로인트는 북한 해커부대 라자루스 그룹(Lazarus Group)이 전세계 여러 곳으로부터 탈취한 가상자산의 일부를 캄보디아 소재의 금융서비스로 이동시켜 자금 세탁하고 있는 정황을 발견했다고 18일 밝혔다.

라자루스는 2007년 창설된 북한 정찰총국 소속의 해커 조직으로 작년에 발생한 사법부 전산망 해킹 사건의 주범으로 알려져 있으며, 전 세계의 주요 가상자산 거래소, 지갑 서비스 및 다양한 디파이(DeFi; 탈중앙화 금융) 서비스를 대상으로 해킹 공격을 벌이고 있다.

클로인트 측은 “매년 전세계에서 발생하는 가상자산 해킹사고의 절반 이상이 라자루스 등 북한 해커 조직의 소행으로 확인되고 있다”며 “클로인트의 CRC(크립토 리서치 센터)는 라자루스가 관여한 전세계의 주요 해킹사고에 대한 자금 세탁 경로를 지속적으로 추적해 왔다”고 설명했다.

이 과정에서 클로인트는 지난달 4일부터 이틀간 라자루스 탈취자금 중 약 180만 달러의 자금이 토르체인(Thorchain Network)을 통해 캄보디아 소재의 후이원 그룹의 금융 자회사로 이동한 사실을 확인했다는 것이다.

클로인트 측은 “이 회사는 2021년 설립, 온라인 마켓플레이스로 부동산 및 자동차 거래로 시작했으나, 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목을 받고 있고, 특히 ‘Pig Butchering’이라는 자금세탁 기법을 이용한다”며 “이들이 운영하는 마켓플레이스는 텔레그램 기반의 수천 개 메시징 채널로 구성되며 각 채널은 판매자가 독립적으로 관리하고 주요 결제 수단으로 암호화폐인 USDT 스테이블 코인이 사용된다”고 덧붙였다.

이어 클로인트는 이와 관련해 최근 영국의 일립틱 리서치(Elliptic Research)는 후이원 보증(Huione Guarantee)의 마켓플레이스에서 암호화폐 지갑을 이용해 최소 100억 달러 규모의 거래가 일어났고 상당부분이 자금세탁과 사기에 관련되어 있다고 밝힌 바 있음을 언급했다.

또한 FBI는 지난해 8월 라자루스가 아토믹 월렛(Atomic Wallet), 코인스페이드(CoinsPaid), 알파포(Alphapo) 등 크립토 서비스 기업들로부터 1억 6000만달러 이상의 가상자산을 탈취했다고 발표한 바 있다.

최근 로이터 통신은 해당 사건으로 탈취된 가상자산이 올해 후이원을 통해 자금세탁이 진행된 정황이 있다고 발표했다. 아토믹 월렛과 알파포는 로이터의 논평 요청에 응답하지 않았으나 코인스페이드는 도난당한 3700만 달러 상당의 가상자산이 후이원 페이 지갑으로 이동했다고 밝혔다.

지난해 11월 미국 재무부 역시 북한의 사이버 활동 관련 신규 제재를 발표하면서 '신바드' 사이트를 재무부 해외자산통제국의 특별지정 제재대상 리스트에 올렸다. 기존에는 신바드 믹서 서비스를 이용해 자금 세탁을 주로 했으나 자금 세탁 루트가 막히면서 새로운 자금 세탁 루트를 탐색하기 시작한 것으로 추정된다.

이어 클로인트 측은 “북한 라자루스 그룹은 전 세계에서 탈취한 암호화폐를 후이원 페이(Huione Pay) 서비스를 이용해 불법 자금을 전환 및 세탁하는 자금 루트를 활용하는 것으로 의심된다”며  “특히 금융규제가 상대적으로 느슨한 캄보디아라는 곳을 노리는 점도 눈 여겨 볼만하다”고 언급했다.

특히 후이원 페이(Huione Pay) 이사진 중 훈 투(Hun To)는 현 캄보디아 총리 훈 마넷(Hun Manet)의 사촌으로 알려져 있고, 캄보디아의 느슨한 암호화폐 규제와 맞물려 국제적인 수사나 금융 제재 시도를 무력화하는데 영향력을 발휘할 수 있다는 점이 우려되고 있다.

한편 클로인트는 국내외의 수사기관 및 가상자산 해킹 피해자를 대상으로 탈취자금 추적분석 서비스를 제공하고 있다. 이와 관련해 가상자산 해킹 사건 발생 동향과 흐름을 신속하게 파악할 수 있는 ‘체인워처’ 서비스를 올해 2월에 출시한 바 있다. 이어 클로인트는 전문적이고 체계적인 추적분석이 가능한 가상자산 인텔리전스 도구인 ‘한터’를 올 하반기에 출시할 예정이다.