10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법

기사 주요 내용:

코인데스크는 인젝티브, 제로렌드, 팬텀, 스시, 연 파이낸스, 코스모스 허브 등 잘 알려진 블록체인 프로젝트를 포함해 12개 이상의 암호화폐 회사가 북한 출신 IT 인력을 몰래 고용한 사실을 발견했습니다.

직원들은 위조 신분증을 사용하고, 면접을 통과하고, 자격 심사를 통과하고, 실제 업무 경험을 제공했습니다.

미국을 비롯한 북한을 제재하는 다른 나라에서 북한 노동자를 고용하는 것은 불법입니다. 코인데스크는 여러 회사가 북한 IT 인력을 고용한 후 해킹을 당한 사례를 발견하는 등 보안상의 위험도 있습니다.

저명한 블록체인 개발자인 자키 마니안은 "모두가 이들을 가려내려고 노력하고 있다"고 말했습니다. 그는 2021년 코스모스 허브 블록체인 개발을 돕기 위해 실수로 두 명의 북한 IT 인력을 고용했다고 말했습니다.

암호화폐 회사 트루플레이션은 2023년 설립자 스테판 러스트가 자신도 모르게 첫 북한 직원을 고용했을 때 아직 초기 단계에 있었습니다.

"우리는 항상 좋은 개발자를 찾고 있습니다."라고 스위스에 있는 자택에서 러스트는 말했습니다. 놀랍게도 "이 개발자가 우리를 만났습니다."

'류헤이'는 텔레그램을 통해 일본에서 일하고 있다고 주장하며 이력서를 보냈습니다. 그가 채용된 후 얼마 지나지 않아 이상한 갈등이 표면화되기 시작했습니다.

한 번은 "그 사람과 이야기를 나눴는데 지진이 일어났다고 말했어요."라고 라스트는 회상했습니다. 하지만 일본에서는 최근 지진이 발생한 적이 없었습니다. 그 후 그 직원은 전화를 받지 않기 시작했고, 그가 나타났을 때 "그가 아니었다"고 라스트는 말했습니다. "다른 사람이었죠." 누구였든 일본 억양이 사라졌습니다.

러스트는 곧 '류헤이'와 다른 직원 4명(팀의 3분의 1 이상)이 북한인이라는 사실을 알게 되었고, 러스트는 직원들에게 원격 해외 근무를 제공하고 수입을 평양으로 송금하려는 북한의 조직적인 음모에 우연히 휘말리게 되었습니다.

미국 당국은 최근 북한 IT 노동자들이 암호화폐 고용주를 포함한 기술 기업에 침투해 수익금을 북한의 핵무기 프로그램 자금으로 사용하고 있다는 경고를 강화했습니다. 2024년 유엔 보고서에 따르면, 이들 IT 노동자들이 북한에서 벌어들이는 수입은 연간 최대 6억 달러에 달합니다.

노동자를 고용하고 급여를 지급하는 것은 의도하지 않았더라도 유엔 제재를 위반하는 것이며 미국을 비롯한 많은 국가에서 불법입니다. 또한 북한 해커들이 비밀리에 직원을 고용하여 기업을 공격하는 것으로 알려져 있기 때문에 심각한 보안 위험을 초래할 수 있습니다.

코인데스크의 설문조사에 따르면 북한 구직자들이 면접을 통과하고 신원 조회를 통과하고 심지어 오픈 소스 소프트웨어 저장소인 깃허브에 코드 기여 이력을 보여주는 등 얼마나 공격적이고 자주 암호화폐 회사를 목표로 삼는지 밝혀졌습니다.

코인데스크는 의도치 않게 북한 출신 IT 인력을 고용했다고 밝힌 12개 이상의 암호화폐 회사를 인터뷰했습니다.

창업자, 블록체인 연구자, 업계 전문가들과의 인터뷰 결과, 암호화폐 업계에서 북한 출신 IT 인력이 생각보다 훨씬 더 흔한 것으로 나타났습니다. 이 기사를 위해 인터뷰에 응한 거의 모든 채용 관리자들은 북한 개발자로 의심되는 사람을 면접했거나, 자신도 모르게 채용했거나, 그런 사람을 알고 있다고 인정했습니다.

저명한 블록체인 개발자인 자키 마니안은 "암호화폐 업계에서 북한 출신 이력서, 입사 지원자 또는 기고자의 비율은 아마도 50% 이상일 것"이라고 말했습니다. 그는 2021년 코스모스 허브 블록체인 개발을 돕기 위해 우연히 두 명의 북한 IT 직원을 고용했다고 말했습니다. "모두가 이 사람들을 가려내려고 노력하고 있습니다."

코인데스크가 알게 된 북한 고용주 중에는 코스모스 허브, 인젝티브, 제로렌드, 팬텀, 스시, 연 파이낸스 등 잘 알려진 블록체인 프로젝트가 다수 포함되어 있습니다. "이 모든 것이 뒤에서 벌어지고 있습니다. "마니안이 말했습니다.

이 회사들이 북한 IT 인력을 고용한 사실을 공개적으로 인정한 것은 이번 조사가 처음입니다.

대부분의 경우 북한 노동자들은 정규직과 같은 방식으로 일했기 때문에 어떤 의미에서 고용주들은 지불한 만큼의 결과물을 얻었다고 볼 수 있습니다. 하지만 코인데스크는 이 직원들이 북한 정부와 관련된 블록체인 주소로 월급을 송금했다는 증거를 발견했습니다.

코인데스크의 조사 결과, 북한 IT 직원을 고용한 암호화폐 프로젝트가 나중에 해킹당한 사례도 여러 건 발견되었습니다. 이 중 일부 사례에서는 도난이 회사의 급여를 받는 북한 IT 직원으로 의심되는 직원과 직접 연결될 수 있었는데, 2021년 해킹으로 300만 달러를 잃은 유명한 디파이 프로토콜인 Sushi가 그 사례입니다.

미 재무부 해외자산통제실(OFAC)과 법무부는 2022년부터 북한의 미국 암호화폐 산업 침투 시도를 공개하기 시작했고, 코인데스크는 그보다 훨씬 이전인 2018년부터 북한 IT 직원들이 암호화폐 회사에서 허위 신분으로 일하기 시작했음을 보여주는 증거를 발견했다.

"많은 사람들이 이것이 갑자기 일어난 일이라고 착각하고 있는 것 같습니다."라고 마니안은 말했습니다. "이 사람들은 2016년, 2017년, 2018년으로 거슬러 올라가는 깃허브 계정과 다른 것들을 가지고 있습니다." (마이크로소프트가 소유한 깃허브는 많은 소프트웨어 조직에서 코드를 호스팅하고 개발자들이 협업하는 데 사용하는 온라인 플랫폼입니다.)

코인데스크는 블록체인 결제 기록, 공개된 깃허브 코드 기여, 미국 정부 관계자의 이메일, 대상 기업과의 직접 인터뷰 등 다양한 방법을 사용해 북한 IT 종사자와 기업을 연결했습니다.코인데스크가 조사한 북한 최대 결제 네트워크 중 하나는 블록체인 수사관 잭XBT가 발견했으며, 그는 8월에 북한 개발자로 의심되는 명단을 발표했습니다.

이전에는 고용주들이 원치 않는 노출이나 법적 처벌을 우려해 침묵을 지켰습니다. 이제 코인데스크가 발굴한 수많은 결제 기록과 기타 증거를 접한 이들 중 다수가 처음으로 자신의 이야기를 공개하기로 결정하면서 북한의 암호화폐 산업 침투가 얼마나 큰 성공과 규모로 이루어졌는지 폭로하고 있습니다.

위조된 문서

외형상 일본인 직원인 류헤이를 고용한 후 러스트의 트루플레이션에는 신규 지원자가 쇄도했습니다. 몇 달 만에 러스트는 자신도 모르게 몬트리올, 밴쿠버, 휴스턴, 싱가포르에 거주한다고 주장하는 4명의 북한 개발자를 추가로 고용했습니다.

암호화폐 산업은 특히 북한 IT 인력에 의한 혼란에 취약합니다. 암호화폐 업계의 인력은 매우 전 세계적으로 분포되어 있으며, 암호화폐 회사들은 다른 회사들보다 완전히 원격지에 있는(또는 익명의) 개발자를 기꺼이 고용하는 경향이 있습니다.

코인데스크는 텔레그램과 디스코드 같은 메시징 플랫폼, 크립토 잡 리스트 같은 암호화폐 전문 구인 게시판, 인디드 같은 구인 게시판 등 다양한 경로를 통해 암호화폐 회사로부터 받은 북한 구직 신청서를 조사했습니다.

"가장 채용 가능성이 높은 곳은 디스코드에서 채용하고자 하는 참신하고 떠오르는 팀입니다."라고 북한 암호화폐 활동과 관련된 보안 정보를 정기적으로 게시하는 암호화폐 지갑 앱 메타마스크의 제품 매니저인 테일러 모나한은 말합니다. 연구. "디스코드에는 신원 조회를 거친 사람을 고용하는 절차가 마련되어 있지 않습니다. 그들은 대부분 암호화폐로 지불할 의향이 있습니다."

러스트는 트루플레이션의 모든 신규 채용자에 대해 신원 조회를 실시한다고 말했습니다. "여권과 신분증을 보내고, GitHub 코드 저장소를 알려주고, 테스트를 진행한 다음 기본적으로 채용을 진행합니다."

이미지 src="https://img.jinse.cn/7304247_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 업계에 침투한 방법">

한 지원자는 텍사스 운전면허증을 암호화폐 회사 트루플레이션에 제출했습니다. 신청자는 현재 북한 시민으로 의심받고 있으며, 코인데스크는 북한 IT 종사자들이 훔친 신분증을 사용하는 것으로 알려져 있기 때문에 일부 세부 사항은 공개하지 않았습니다. (스테판 러스트 이미지 제공)

전문가가 아닌 일반인의 눈에는 위조된 서류 대부분이 실제 여권이나 비자와 구별할 수 없지만, 전문가들은 전문 신원조회 서비스를 이용하면 위조 여부를 알아낼 수 있을 것이라고 코인데스크에 말했다.

이미지 src="https://img.jinse.cn/7304248_watermarknone.png" alt="10,000 단어 조사 : 북한이 암호 화폐 산업에 침투 한 방법">ZachXBT가 확인한 북한 IT 직원 중 한 명인 나오키 무라노는 회사에 문서 사본을 제공했습니다. ZachXBT가 신원을 확인한 북한 IT 직원 중 한 명인 '나오키 무라노'는 회사에 진품으로 보이는 일본 여권을 제공했습니다. (테일러 모나한 이미지 제공)

스타트업이 전문 신원 조회 서비스를 이용할 가능성은 낮지만, "대기업에서 북한 IT 인력이 실제 직원이거나 최소한 계약직으로 근무하는 것을 볼 수 있다"고 모나한은 말했습니다.

잘 보이지 않는 곳에 숨어

코인데스크는 공개적으로 이용 가능한 블록체인 데이터를 통해 북한 기업의 IT 인력을 찾아낸 경우가 많습니다.

2021년, 블록체인 개발자 마니안의 회사인 아이큐루션은 도움이 필요했습니다. 그는 인기 있는 코스모스 허브 블록체인을 업그레이드하는 프로젝트에 도움을 줄 수 있는 프리랜서 프로그래머를 찾고 있었습니다. 그는 두 명의 신입사원을 찾았고 그들은 훌륭한 일을 해냈습니다.

마니안은 프리랜서인 '준 카이'와 '사라웃 사닛'을 직접 만난 적이 없었습니다. 그들은 이전에 블록체인 네트워크와 밀접한 관련이 있는 THORChain이 자금을 지원하는 오픈소스 소프트웨어 프로젝트에서 함께 일한 적이 있었고, 마니안에게 싱가포르에 있다고 말했습니다.

"1년 동안 거의 매일 그들과 이야기를 나눴습니다."라고 매니안은 말했습니다. "그들은 일을 해냈습니다. 솔직히 매우 기쁩니다."

프리랜서들이 작업을 완료한 지 2년 후, 마니안은 FBI 요원으로부터 아이큐루션에서 북한의 의심스러운 암호화폐 지갑 주소로 토큰이 이체된 것으로 보이는 사건을 조사하는 이메일을 받았습니다. 문제의 이체는 Iqlusion에서 Kai와 Sanit으로 송금된 것으로 밝혀졌습니다.

이미지 src="https://img.jinse.cn/7304249_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

왼쪽: FBI 요원(이름 삭제)이 자키 마니안에게 그의 회사 Iqlusion에서 이루어진 두 건의 블록버스터급 이체에 대한 정보를 요청했다. 두 건의 블록체인 결제에 대한 정보를 요청했습니다. 마니안은 요원에게 해당 거래가 아이큐루전과 여러 계약자 간의 거래라고 알려주었습니다.

FBI는 마니안에게 그가 계약한 개발자들이 북한 요원이라는 사실을 확인하지 않았지만, 코인데스크가 카이와 새닛의 블록체인 주소를 검토한 결과 2021년과 2022년 사이에 OFAC의 제재 명단에 있는 김상만과 심현섭 두 사람에게 송금한 것으로 나타났습니다.

FBI는 마니안에게 그가 계약한 개발자들이 북한 요원이라는 사실을 확인하지 않았습니다. p>심은 북한 광주은행의 대표로, "북한의 대량살상무기와 탄도미사일 프로그램 자금 조달"을 돕기 위해 IT 종사자들의 돈을 세탁하는 역할을 한다고 OFAC는 밝혔습니다. 사라웃은 모든 수입을 심과 심과 관련된 다른 블록체인 지갑에 송금한 것으로 보입니다.

이미지 src="https://img.jinse.cn/7304250_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

2022년 4월부터 12월까지의 블록체인 기록에 따르면 " 사라웃 사닛'은 모든 월급을 OFAC가 승인한 북한 요원 심현섭과 연결된 지갑으로 보냈습니다. (코인데스크가 추적한 이더리움 지갑 목록. 아캄이 추정한 자산 가격).

한편 카이는 김 위원장에게 약 800만 달러를 직접 송금했다. 2023년 OFAC 자문 보고서에 따르면, 김 씨는 북한이 운영하는 진용정보기술협력회사의 대표로 "이 회사가 통제하는 회사와 그 대표를 통해 러시아와 라오스에서 일하는 북한 IT 노동자 대표단을 고용했다"고 합니다.

이미지 src="https://img.jinse.cn/7304251_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

2021년 내내 "준 카이 "는 김상만과 관련된 OFAC 제재 목록에 있는 블록체인 주소로 770만 달러 상당의 암호화폐를 직접 송금했습니다. (코인데스크가 추적한 이더리움 지갑 목록. 아캄이 추정한 자산 가격).

아이큐루션은 김 씨에게 준 약 800만 달러 중 5만 달러 미만을 카이에게 지급했고, 나머지 돈은 다른 암호화폐 회사에서 일부 조달했습니다.

예를 들어 코인데스크는 널리 사용되는 팬텀 블록체인을 개발한 팬텀 재단이 '준 카이'와 또 다른 북한 관련 개발자에게 돈을 지불한 사실을 발견했습니다.

팬텀 재단 대변인은 코인데스크에 "팬텀은 2021년에 외부인 두 명이 북한과 연루된 사실을 확인했다. 그러나 관련 개발자들은 완료되지도 않았고 배포되지도 않은 외부 프로젝트에 관여했다"고 말했다.

팬텀 재단에 따르면 "관련 직원 2명은 해고되었고, 악성 코드를 제공한 적이 없으며, 팬텀의 코드베이스에 접근한 적이 없고, 팬텀 사용자들은 영향을 받지 않았다"고 합니다. 대변인은 북한 직원이 팬텀의 서버를 공격하려고 시도했지만 필요한 액세스 권한이 없어 실패했다고 말했습니다.

오픈제재 데이터베이스에 따르면 김 씨의 북한 연계 블록체인 주소는 아이큐루전과 팬텀 결제 이후 2년이 넘은 2023년 5월에야 북한 정부가 공개했습니다.

기동의 여지

미국과 유엔은 각각 2016년과 2017년에 북한 IT 인력 고용에 제재를 부과했습니다.

알고 있든 모르든, 미국에서 북한 노동자에게 임금을 지급하는 것은 불법이며, 이를 '엄격 책임'이라는 법적 개념으로 규정하고 있습니다.

회사의 위치도 중요하지 않습니다. 북한 근로자를 고용하는 것은 북한에 제재를 가한 국가에서 사업을 하는 모든 회사에 법적 위험을 초래합니다.

그러나 미국과 다른 유엔 회원국들은 아직 북한 IT 노동자를 고용한 암호화폐 기업을 기소하지 않았습니다.

미 재무부는 미국에 본사를 둔 아이클루전에 대한 조사를 시작했지만, 마니안은 아무런 처벌 없이 조사가 끝났다고 말했다.

미국 당국은 이 회사들을 기소하는 데 관대했는데, 이는 기껏해야 매우 정교하고 정교한 형태의 신원 사기를 당했거나 최악의 경우 가장 수치스러운 장기 사기 중 하나에 당했다는 사실을 인정한 셈입니다.

메타마스크의 모나한은 법적 위험 외에도 북한 IT 종사자에게 돈을 지불하는 것은 "기본적으로 북한 정권에 의해 착취당하고 있는 사람들에게 돈을 지불하는 것이기 때문에 좋지 않다"고 설명합니다.

유엔 안전보장이사회가 작성한 615페이지 분량의 보고서에 따르면 북한 IT 노동자들은 임금의 극히 일부만 가져갈 수 있습니다. 보고서는 "저소득층은 10%를, 고소득층은 30%를 가져갈 수 있다"고 밝혔습니다.

북한 평균에 비하면 여전히 높은 임금일 수 있지만, 모나한은 "나는 그들이 어디에 사는지는 상관하지 않는다"고 말했다. "내가 누군가에게 월급을 주는데 그 사람이 월급 전액을 상사에게 보내야 한다면 저는 매우 불편할 것입니다. 만약 그 상사가 북한 정권이라면 더더욱 불편할 것입니다."

코인데스크는 취재 과정에서 여러 명의 북한 IT 직원에게 연락을 취했지만 아직 답변을 받지 못했습니다.

향후

코인데스크는 OFAC 제재 대상 기업의 블록체인 결제 기록을 분석해 북한 IT 인력을 고용했을 가능성이 있는 20개 이상의 기업을 확인했다.12 관련 기록을 제출한 기업들은 코인데스크에 이전에 북한 IT 인력으로 의심되는 인력을 고용한 적이 있다고 확인했다.

법적 처벌을 우려해 더 이상의 언급을 거부한 기업들도 있었지만, 다른 기업들이 자신들의 경험을 통해 배울 수 있기를 바라며 자신들의 이야기를 공유하는 데 동의한 기업들도 있었습니다.

대부분의 경우 북한 직원은 일단 고용되면 신원을 파악하기가 더 쉽습니다.

탈중앙화 금융 프로젝트인 인젝티브의 최고 경영자 에릭 첸은 2020년에 프리랜서 개발자를 영입했지만 성과가 좋지 않아 곧 해고했다고 말했습니다.

"그는 오래 버티지 못했습니다."라고 첸은 말합니다. "그는 끔찍한 코드를 작성했고 제대로 작동하지 않았습니다." 첸은 작년에 인젝티브가 미국의 한 '정부 기관'으로부터 연락을 받고 나서야 직원의 북한 연루 사실을 알게 되었다고 합니다.

코인데스크에 따르면 몇몇 회사는 북한과 연계된 사실을 알기 전에 직원의 업무 수준이 낮다는 이유로 해고했다고 밝혔다.

"수개월 동안 급여를 받지 못했다"

그러나 북한 IT 노동자들은 일반적인 개발자와 비슷하며 능력은 다양합니다.

마니안은 "회사에 와서 면접 과정을 거친 후 몇 달치 월급만 받는" 직원이 있을 것이라고 말합니다. "그리고 다른 한편으로는 면접을 보면 실제 기술력이 정말 뛰어나다는 것을 알게 되는 경우도 있습니다."

러스트는 트루플레이션에서 밴쿠버 출신이라고 주장했지만 나중에 북한 출신이라는 사실을 알게 된 "정말 훌륭한 개발자"를 만났다고 회상합니다. "그는 정말 젊은 사람이었습니다."라고 러스트는 말합니다. "대학을 갓 졸업한 것 같았어요. 풋풋하고 열정적이며 일할 수 있는 기회에 매우 흥분해 있었습니다."

또 다른 사례로, 디파이 스타트업 클러스터는 지난 8월 잭XBT가 북한과 연계되어 있다는 증거를 제시하자 개발자 2명을 해고했습니다.

클러스터의 익명의 창업자 z3n은 코인데스크에 "이 사람들이 정말 얼마나 많은 것을 알고 있는지 믿을 수 없다"고 말했습니다. 돌이켜보면 "명백한 위험 신호"가 몇 가지 있었습니다. 예를 들어, "2주마다 결제 주소를 바꾸고, 한 달에 한 번 정도는 디스코드 이름이나 텔레그램 이름을 바꾸곤 했다"는 것입니다.

웹캠 끄기

코인데스크와의 대화에서 많은 고용주들은 직원이 북한인일 수 있다는 사실을 알게 되었을 때 이상 징후를 발견했다고 말했습니다.

혹은 직원의 근무 시간과 실제 근무지가 일치하지 않는 등 미묘한 징후를 발견하기도 했습니다.

트루플레이션과 같은 다른 고용주들은 직원들이 한 사람인 척 여러 명으로 구성될 수 있으며, 직원들이 웹캠을 꺼서 이를 숨길 수 있다는 사실을 알아냈습니다. (이들은 거의 대부분 남성이었습니다).

한 회사에서는 오전에는 회의에 참석하지만 오후에는 많은 사람들과 분명히 이야기했던 내용을 모두 잊어버리는 직원을 고용했을 때 이 특이한 현상이 더 잘 이해되었습니다.

러스트가 범죄 결제 네트워크 추적 경험이 있는 투자자에게 '일본인' 직원인 류헤이에 대한 우려를 표하자, 투자자는 트루플레이션의 급여명세서에서 북한으로 의심되는 다른 4명의 IT 직원을 재빨리 찾아냈습니다.

"우리는 즉시 연락을 차단했습니다."라고 러스트는 말하며, 그의 팀은 코드에 대한 보안 감사를 실시하고 신원 확인 절차를 강화했으며 일부 정책을 변경했다고 덧붙였습니다. 이러한 새로운 정책 중 하나는 원격 근무자가 카메라를 켜야 한다는 것입니다.

300만 달러 상당의 해킹

코인데스크가 상담을 진행한 많은 고용주들은 북한 IT 근로자들이 북한 해킹 부서와 독립적으로 운영된다고 잘못 믿고 있지만, 블록체인 데이터와 전문가들과의 대화에 따르면 북한 해킹과 IT 근로자들은 종종 연관되어 있다고 합니다.

2021년 9월, 스시가 암호화폐 토큰을 발행하기 위해 구축한 플랫폼인 MISO는 도난으로 300만 달러를 잃었고, 코인데스크는 이 공격이 스시가 블록체인 결제 기록이 북한과 연결된 개발자 2명을 고용한 것과 연관되어 있다는 증거를 발견했습니다.

해킹 당시 스시는 신흥 디파이 분야에서 가장 주목받는 플랫폼 중 하나였으며, 중개자 없이 암호화폐를 거래할 수 있는 '탈중앙화 거래소' 역할을 하는 스시스왑에 50억 달러 이상이 예치되어 있었습니다.

당시 스시의 최고 기술 책임자였던 조셉 델롱은 MISO 도난 사건을 플랫폼 개발에 관여한 두 명의 프리랜서 개발자를 추적했는데, 이들은 앤서니 켈러와 사바 그루직이라는 이름을 사용했으며, 현재 같은 사람 또는 조직으로 의심되는 개발자들이 MISO 플랫폼에 악성 코드를 주입했다고 델롱은 덧붙였습니다. 악성 코드가 삽입된 MISO 플랫폼은 그들이 통제하는 지갑으로 자금을 이체했습니다.

켈러와 그루직은 스시 프로토콜을 관리하는 탈중앙화 자율 조직인 스시 DAO에 고용되었을 때, 초급 개발자에게 충분히 일반적이고 인상적인 자격 증명을 제공했습니다.

켈러는 공개적으로는 'eratos1122'라는 가명을 사용하지만, MISO에 입사 지원할 때는 자신의 본명인 'Anthony Keller'를 사용했습니다. 켈러는 코인데스크와 공유한 약력에서 조지아주 게인즈빌에 거주하며 피닉스 대학교에서 컴퓨터 공학 학사 학위를 받았다고 주장했습니다. (이 대학은 같은 이름을 가진 졸업생이 있는지 확인해 달라는 요청에 응답하지 않았습니다.)

이미지 src="https://img.jinse.cn/7304252_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

"Anthony Keller "는 조지아주 게인즈빌에 거주한다고 주장하는 이력서에 인기 탈중앙화 금융 앱인 Yearn에서 근무한 경력이 기재되어 있습니다.

켈러의 이력서에는 이전 직장이 언급되어 있습니다. 가장 인상적인 것 중 하나는 사용자에게 다양한 투자 전략을 통해 이자를 얻을 수 있는 방법을 제공하는 매우 인기있는 암호화폐 투자 프로토콜인 Yearn Finance입니다.Yearn의 핵심 개발자인 반테그는 켈러가 Yearn에서 개발한 앱인 Coordinape에서 일했다고 확인했습니다. 팀의 협업을 돕고 결제를 용이하게 합니다. (반테그는 켈러의 업무는 코디네이프에만 국한되어 있었고, 그는 Yearn의 핵심 코드 베이스에 접근할 수 없었다고 말했습니다.)

델롱에 따르면 켈러는 그루지치를 MISO에 소개했고, 두 사람은 서로를 '친구'라고 불렀다고 합니다. 켈러와 마찬가지로 그루직도 온라인 가명인 '아리스토K3'가 아닌 자신의 실명으로 이력서를 제출했습니다. 그는 세르비아 출신으로 베오그라드 대학교에서 컴퓨터 공학 학사 학위를 받았다고 자신을 소개했습니다. 그의 GitHub 계정은 활성화되어 있으며 이력서에는 여러 소규모 암호화폐 프로젝트와 게임 스타트업에서 일한 경험이 기재되어 있습니다.

이미지 src="https://img.jinse.cn/7304253_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

이력서에서 "사바 그루지치 "의 이력서에는 5년의 프로그래밍 경력이 기재되어 있으며 세르비아 베오그라드에 거주하고 있다고 주장합니다.

탈취 전 켈러와 그루직과 긴밀히 협력했던 스시의 전 핵심 개발자 레이첼 추는 해킹 이전에도 두 사람을 "의심했다"고 말했습니다.

그루직과 켈러는 거리가 멀었지만 "억양이 같았고", "문자도 같은 방식으로 주고받았다"고 추는 말했습니다. "우리가 대화할 때마다 공장 같은 배경 소음이 있었습니다." 추는 켈러의 얼굴은 봤지만 그루직의 얼굴은 본 적이 없다고 회상했습니다. 추에 따르면 켈러의 카메라는 "줌인"되어 있어서 그의 뒤에 무엇이 있는지 볼 수 없었다고 합니다.

그루직과 켈러는 결국 같은 시기에 MISO에 대한 기고를 중단했습니다. 델롱은 "우리는 두 사람이 같은 사람이라고 생각했다"며 "그래서 후원금 지급을 중단했다"고 말했습니다. 당시에는 코로나19가 한창일 때였고, 원거리 암호화폐 개발자들이 급여에서 추가 수입을 얻기 위해 여러 사람을 속이는 일이 드물지 않았습니다.

그루직과 켈러가 2021년 여름에 해고된 후, 스시 팀은 MISO 코드베이스에 대한 액세스 권한을 취소하는 것을 소홀히 했습니다.

코인데스크가 입수한 스크린샷에 따르면, 9월 2일 그루직은 '아리스토크3'라는 스크린네임으로 MISO 플랫폼에 악성 코드를 제출하여 3백만 달러를 새로운 암호화폐 지갑으로 이체했습니다.

이미지 src="https://img.jinse.cn/7304254_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">"사바 그루직"은 가명을 사용해 악성 코드를 미소에 제출했습니다. 아리스토K3는 오염된 코드를 스시의 MISO에 제출했습니다. (조셉 델롱 스크린샷 제공)

코인데스크의 블록체인 결제 기록 분석에 따르면 그루직, 켈러, 북한 간의 연결 가능성이 있습니다. 2021년 3월 켈러는 지금은 삭제된 트윗에 블록체인 주소를 올렸는데, 코인데스크는 이 주소와 그루직이 해킹한 주소, 스시의 기록이 해커의 주소와 동일하지 않다는 사실을 발견했습니다. 해킹된 주소와 스시의 아카이브에 있는 켈러의 주소는 여러 번의 결제를 통해 연결되었습니다. 델롱에 따르면, 스시의 내부 조사 결과 결국 해당 주소가 켈러의 것이라고 결론지었습니다.

p>이미지 src="https://img.jinse.cn/7304255_watermarknone.png" alt="1만 단어 조사: 북한이 암호화폐 업계에 침투한 방법">

< p>2021년과 2022년 사이에 켈러와 그루직과 연관된 블록체인 주소들은 대부분의 자금을 북한과 연결된 지갑으로 보냈습니다. (코인데스크가 추적한 이더리움 지갑 목록. 아캄이 추정한 자산 가격).

코인데스크는 이 주소가 대부분의 자금을 '준 카이'(OFAC의 제재를 받고 있는 김상만에게 돈을 송금한 아이큐루션 개발자)와 북한의 대리인 역할을 하는 것으로 보이는 또 다른 지갑(김 씨에게도 돈을 송금한 것으로 확인)으로 보냈다는 사실을 발견했습니다.

스시의 내부 조사 결과 켈러와 그루직은 종종 러시아 IP 주소로 활동한 것으로 드러나 이들이 북한인이라는 주장에 힘을 실어주었고, OFAC는 북한 IT 직원이 러시아에 주재하는 경우도 있다고 밝혔습니다. (켈러의 이력서에 기재된 미국 전화번호는 비활성화되었고, "eratos1122" 깃허브와 트위터 계정은 삭제되었습니다.).

또한 코인데스크는 스시가 켈러와 그루직과 함께 또 다른 북한 IT 계약자로 의심되는 개발자 잭XBT가 '게리 리'라고 설명한 개발자를 고용했으며, 이 개발자는 라이트퓨리(LightFury)라는 가명으로 회사에 수익을 송금했다는 증거를 발견했습니다. ZachXBT는 이 개발자를 '게리 리'라고 설명하며, 그는 LightFury라는 가명으로 코딩을 하고 '준 카이'와 김 씨와 관련된 다른 프록시 주소로 수익을 송금했다고 밝혔습니다.

이미지 src="https://img.jinse.cn/7304256_watermarknone.png" alt="10,000단어 조사: 북한이 암호화폐 산업에 침투한 방법">

2021년부터 2022년까지 스시는 또 다른 북한인 계약자를 고용했습니다. 그의 이름은 "게리 리"입니다. 이 직원은 2021년부터 2022년까지 수입을 북한 관련 블록체인 주소로 송금했는데, 여기에는 (코인데스크가 추적한) 아이큐루션의 '준 카이'가 사용한 지갑이 포함되었습니다. (코인데스크가 추적한 이더리움 지갑 목록. 자산 가격은 아캄에서 추정).

그루지치는 스시가 켈러의 가명 '에라토스1122'를 공개적으로 비난하고 FBI가 개입하겠다고 협박하자 훔친 자금을 돌려주었습니다. 북한 IT 종사자들이 가짜 신원을 보호하는 데 신경을 쓴다는 것은 직관적이지 않은 것처럼 보이지만, 북한 IT 종사자들은 장래 고용주의 신뢰를 얻기 위해 특정 이름을 재사용하고 많은 프로젝트에 기여함으로써 평판을 쌓는 것으로 보입니다.

일각에서는 앤서니 켈러의 가명을 보호하는 것이 장기적으로 더 유리하다고 주장할 수도 있습니다. 스시 사건 2년 후인 2023년에 '앤서니 켈러'라는 사람이 스테판 러스트의 회사인 트루플레이션에 지원한 사례가 있습니다. 트루플레이션.

코인데스크는 '앤서니 켈러'와 '사바 그루직'의 의견을 듣기 위해 연락을 시도했지만 실패했습니다.

북한식 강도

유엔에 따르면 북한은 지난 7년간 해킹을 통해 30억 달러 이상의 암호화폐를 훔쳤습니다. 블록체인 분석 회사인 체인널리시스는 2023년 상반기에 추적한 해킹 중 15건을 북한과 연관시켰으며, "그 중 약 절반이 IT 종사자 관련 절도와 관련이 있다"고 이 회사의 대변인 마들렌 케네디는 말했습니다.

북한의 사이버 공격은 후드티를 입은 프로그래머가 정교한 컴퓨터 코드와 검은색과 녹색 컴퓨터 단말기를 사용해 메인프레임에 침입하는 할리우드 버전의 해킹과는 다르다.

북한식 공격은 분명히 기술적인 측면이 덜합니다. 일반적으로 공격자는 시스템 키를 보유한 피해자의 신뢰를 얻은 다음 악성 이메일 링크와 같은 간단한 수단을 통해 직접 키를 추출하는 일종의 사회 공학을 사용합니다.

모나한은 "지금까지 북한이 실제 공격을 수행한 사례는 한 번도 본 적이 없습니다. 그들은 항상 소셜 엔지니어링 공격으로 시작한 다음 기기를 손상시키고 마지막으로 개인 키를 훔칩니다."라고 말합니다.

IT 종사자들은 잠재적 표적을 손상시키는 데 사용할 수 있는 개인 정보를 입수하거나 디지털 현금이 넘쳐나는 소프트웨어 시스템에 직접 액세스함으로써 북한의 절도에 기여할 수 있는 좋은 위치에 있습니다.

연이은 우연의 연속

이 기사가 게재될 즈음인 9월 25일, 코인데스크는 트루플레이션의 러스트와 화상 통화를 준비했습니다. 그가 이전에 공유했던 몇 가지 세부 사항을 확인하기 위해서였다.

당황한 러스트는 15분 늦게 통화에 합류했습니다. 그는 방금 해킹을 당한 상태였습니다.

코인데스크는 북한 IT 직원을 고용하기 위해 속은 것으로 보이는 20개 이상의 프로젝트에 연락을 취했습니다. 취재가 시작된 지난 2주 동안에만 트루플레이션과 암호화폐 대출 앱인 델타 프라임 등 두 개의 프로젝트가 해킹을 당했습니다.

이 두 해킹이 북한 IT 직원의 의도치 않은 고용과 직접적으로 연관되어 있다고 말하기는 아직 이르다.

델타 프라임은 9월 16일에 처음 해킹을 당했는데, 코인데스크가 익명의 블록체인 해커들이 북한과 관련이 있다고 선전한 개발자 중 한 명인 나오키 무라노와 델타 프라임 간의 결제 및 코드 기여를 발견한 이후였습니다.

이 프로젝트는 공식적으로 '개인 키 유출'로 인해 700만 달러 이상의 손실을 입었으며, 델타 프라임은 여러 차례의 논평 요청에 응답하지 않았습니다.

트루플레이션 해킹은 2주도 채 지나지 않아 발생했습니다. 코인데스크와 통화하기 약 2시간 전, 러스트는 자신의 암호화폐 지갑에서 자금이 유출되는 것을 발견했습니다. 싱가포르 출장에서 막 돌아온 그는 자신이 무엇을 잘못했는지 알아내려고 애쓰고 있었습니다. "어떻게 이런 일이 일어났는지 모르겠습니다."라고 그는 말했습니다. "저는 모든 노트북을 호텔 벽에 있는 금고에 잠가 두었습니다. 휴대폰도 항상 가지고 있었어요."

러스트가 말을 하는 동안 그의 개인 블록체인 지갑에서 수백만 달러가 빠져나가고 있었습니다. "이건 정말 안 좋은 일이에요. 그 돈은 제 아이들의 학비와 제 연금입니다."

트루플레이션과 러스트는 결국 약 5백만 달러의 손실을 입었습니다. 관계자들은 개인 키 도난이 손실의 원인으로 지목했습니다.