✅ 보고서 제목: 북한 배후 조직의 자금세탁 인프라 및 네트워크 분석
✅ 보고서 요약:
- 북한은 국제 금융 제재로 인한 외화 확보 제한을 우회하기 위해 지속적으로 가상자산 탈취 및 자금세탁 활동을 수행하고 있습니다.
- 대표 사례로 Ronin Bridge(2022), Horizon Bridge(2022), Atomic Wallet(2023), DMM Bitcoin(2024), Bybit(2025) 등이 있으며, 미국 정부와 주요 블록체인 분석 기업은 이를 Lazarus, TraderTraitor 등 북한 배후 위협 그룹의 활동으로 평가하고 있습니다.
📌 북한의 가상자산 탈취 및 자금세탁 활동
- 북한 배후 위협 그룹은 탈취한 자산을 즉시 현금화하기보다 다단계로 구성된 세탁 흐름을 구성하는 경향이 있습니다. 다만 모든 사건에서 동일한 서비스가 사용되는 것은 아닙니다. 공개된 사례를 종합하면, 공격자는 탈취한 자산을 다수의 지갑으로 분산한 뒤 믹서, 브리지, 크로스체인 스왑, 교환 서비스, OTC 네트워크를 선택적으로 활용하고, 최종적으로 USDT, USDC와 같은 스테이블코인으로 전환한 뒤 OTC 네트워크를 통해 현금화하는 흐름을 보입니다.
📌 자금세탁 절차
- 단계별 특징은 다음과 같습니다.
1) 초기 분산 단계
- 탈취된 자산을 수백~수천 개 이상의 지갑으로 분산하여 추적과 자산 동결을 어렵게 만듭니다.
2) 믹서(Mixer) 단계
- 일부 사건에서는 믹서가 사용됩니다. 믹서는 여러 사용자의 가상자산을 혼합한 뒤 새로운 주소로 재분배하여 송신자와 수신자 간 연결성을 약화시키는 서비스를 의미합니다.
3) 브리지(Bridge) / 크로스체인 스왑(Cross-chain Swap) 단계
- 일부 사건에서는 브리지 또는 크로스체인 스왑이 활용됩니다. 브리지는 서로 다른 블록체인 간 자산 이동을 지원하는 서비스이며, 크로스체인 스왑은 중앙화 거래소를 거치지 않고 서로 다른 블록체인 자산을 직접 교환하는 방식을 의미합니다.
- 최근 북한 배후 조직이 관여한 것으로 분석된 다수의 사건에서 THORChain을 활용한 ETH-BTC 전환 사례가 반복적으로 확인되고 있습니다. THORChain 자체는 정상적인 크로스체인 유동성 프로토콜이지만, 공격자가 이를 활용해 자산을 다른 체인으로 전환할 경우 단일 체인 기반 추적의 복잡성이 증가할 수 있습니다.
4) 현금화(OTC) 단계
- 최종 단계에서는 OTC(Over-The-Counter) 네트워크가 활용됩니다. OTC는 거래소 주문창을 통하지 않고 당사자 간 직접 거래를 수행하는 방식을 의미하며, 중국어권 브로커와 환전 네트워크가 주요 역할을 수행하는 것으로 알려져 있습니다.
- 최근에는 Huione Pay, Huione Crypto, Haowang Guarantee 등 Huione 계열 서비스가 포함된 동남아시아 기반 OTC 생태계가 주요 자금세탁 우려 대상으로 지속적으로 언급되고 있습니다.
📌 주요 세탁 인프라
Blender.io
- Blender.io는 비트코인 기반의 가상자산 믹서 서비스입니다. 미국 재무부는 2022년 5월 Blender.io를 제재하면서, 이를 가상자산 믹서에 대한 최초의 OFAC 제재 사례라고 설명하였습니다. 재무부는 또한 Blender.io가 Ronin Bridge 해킹으로 탈취된 자금 중 2,050만 달러 이상을 처리했다고 발표하였습니다.
- Blender.io는 입금된 비트코인을 내부 유동성 풀에 혼합한 뒤 다수의 신규 주소로 분산 송금하는 구조를 사용한 것으로 분석됩니다. 이러한 구조는 출금 시점을 지연시키거나 여러 주소를 경유하는 기능을 제공하여 거래 흐름 분석을 어렵게 만들었습니다.
- Blender.io는 북한이 배후로 지목된 가상자산 자금세탁 사례에서 최초로 OFAC 제재가 적용된 믹서라는 점에서 의미가 있습니다.
Tornado Cash
- Tornado Cash는 이더리움 기반의 탈중앙화 스마트 컨트랙트 믹서입니다. 스마트 컨트랙트는 블록체인 위에서 정해진 조건이 충족되면 자동으로 실행되는 프로그램으로, Tornado Cash는 이러한 스마트 컨트랙트와 Zero-Knowledge Proof(ZKP) 기술을 활용해 입금 주소와 출금 주소 간 연결성을 약화시켰습니다.
- Zero-Knowledge Proof(ZKP)는 특정 정보 자체를 공개하지 않고도 해당 정보의 보유 사실을 증명할 수 있는 암호 기술입니다. Tornado Cash에서는 이용자가 과거 해당 풀에 자금을 입금했다는 사실만 증명하면 출금이 가능하며 어느 입금 건과 연결되는지는 공개되지 않습니다. 그 결과 입금 주소와 출금 주소 간 직접적인 연관성 분석이 어려워집니다.
Sinbad.io
- Sinbad.io는 비트코인 기반의 믹서 서비스로, Blender.io 제재 이후 북한이 배후로 지목된 가상자산 자금세탁 사례에서 반복적으로 확인된 비트코인 믹서입니다. 미국 재무부는 2023년 11월 Sinbad.io를 제재하면서, Sinbad가 Ronin Bridge와 Harmony Horizon Bridge 해킹으로 탈취된 자금을 처리하는 데 사용되었다고 설명하였습니다.
eXch
- eXch는 이용자 신원 확인(KYC)을 최소화한 익명성 중심의 가상자산 교환 서비스입니다. eXch는 다수의 블록체인을 지원하였으며, 이용자 정보 수집을 최소화하는 정책으로 인해 다양한 불법 자금세탁 사례에서 자금 이동 경로로 활용되어 왔습니다.
- Elliptic에 따르면 eXch는 Bybit 해킹 이후 북한 배후 위협 그룹이 활용한 주요 자금세탁 경로 중 하나로 확인되었습니다. eXch는 이용자 신원 확인을 최소화하고 자금세탁 방지 통제를 충분히 적용하지 않았다는 비판을 받아왔으며, Bybit 사건 이후 자금세탁 대응과 관련한 논란이 확대되었습니다. 이후 eXch는 운영 종료를 발표하였습니다.
THORChain
- THORChain은 크로스체인 스왑(Cross-chain Swap)을 지원하는 탈중앙화 프로토콜입니다. 크로스체인 스왑은 중앙화 거래소를 거치지 않고 서로 다른 블록체인의 자산을 직접 교환하는 방식을 의미합니다.
- THORChain은 원래 정상적인 탈중앙화 금융(DeFi) 서비스로 설계되었습니다. 그러나 Bybit 해킹 이후 탈취 자금이 THORChain을 통해 이동한 정황이 확인되면서 북한의 가상자산 자금세탁 과정에서 반복적으로 확인되는 주요 서비스로 평가되고 있습니다.
Chinese Laundromat Network 및 Huione
- Chinese Laundromat은 특정 서비스가 아니라 중국어권 OTC 브로커, 자금 중개인, 에스크로 서비스 등으로 구성된 비공식 자금세탁 네트워크를 의미합니다. TRM Labs는 북한 배후 조직이 탈취한 자금의 최종 청산 단계가 OTC 및 자금 중개 네트워크로 외주화되는 경향을 보인다고 설명합니다. 이는 북한의 가상자산 세탁 구조가 믹서와 같은 기술 서비스 중심에서 금융 네트워크 중심으로 확장되고 있음을 시사합니다.
📌 공개 IoC 및 식별 정보 분석
- 과거에는 Blender.io, Tornado Cash, Sinbad.io 등 믹서 서비스가 주요 세탁 수단으로 활용되었으나, 최근에는 THORChain, eXch, Huione 계열 서비스 등 크로스체인 스왑 및 OTC 기반 인프라가 반복적으로 확인되고 있습니다.
- 북한 배후 조직의 자금세탁에서는 개별 지갑 주소보다 자금이 경유하는 서비스와 프로토콜 자체가 더 중요한 추적 대상으로 평가됩니다.
- 공격자는 주소를 지속적으로 교체할 수 있으나, 세탁 인프라는 반복적으로 재사용되거나 유사한 형태로 재등장하는 경향을 보입니다.
- 더욱 상세한 IoC 및 식별 정보 분석이 궁금하시다면 아래 링크를 통해 문의해 주시기 바랍니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- 탐지 및 대응 과정에서는 공개 IoC 기반 탐지와 함께 서비스 및 프로토콜 중심의 행위 기반 분석이 필요합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.