Tracking bitcoin addresses of DPRK's ransomware

2023년 2월 9일, 미국 사이버인프라보안청인 CISA에서 북한 랜섬웨어 관련 한미 합동 사이버 보안 권고문을 발행했다. 본 글에서는 북한이 소유한 것으로 알려진 비트코인 주소에서 발생한 트랜잭션을 추적한 내용에 대해 살펴본다.

※ 해당 글은 박현재 연구원이 작성한 글입니다.

※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.

1. 北 랜섬웨어 관련 韓美 합동 사이버보안 권고​

2023년 2월 9일, 미국 사이버인프라보안청인 CISA에서 북한 랜섬웨어 관련 한미 합동 사이버 보안 권고문을 발행했다.

해당 사이버 보안 권고문은 미국에서 진행 중인 랜섬웨어 예방 캠페인(#StopRansomware)의 일환으로, 네트워크 방어자들을 위해 다양한 랜섬웨어 변종 및 랜섬웨어 위협 행위자에 대해 상세히 기술하고 있다.

포함된 내용에는 북한 정권이 지원하는 랜섬웨어에 대한 전반적인 내용과 함께 랜섬웨어 공격을 목적으로 의료 및 공중 보건 분야와 기타 중요 인프라 분야 기관에 접근하기 위해 북한 사이버 행위자가 사용한 TTP 및 침해지표와 몸값을 요구하기 위해 암호화폐를 사용하는 것에 대한 정보 등이 있다.

특히 이번에 발행된 사이버 보안 권고문에는 북한에서 사용하는 것으로 추정되는 비트코인 주소 43개가 공개되어 본 글에서는 43개의 주소에 대한 정보를 간략하게 살펴보고 암호화폐 추적 솔루션인 "QLUE"를 사용해서 트랜잭션을 추적한 결과를 다루고자 한다.​


2. 북한에서 사용하는 것으로 확인되는 43개의 비트코인 주소​

공개된 43개의 비트코인 주소 중, 총 9개의 주소에서 트랜잭션 기록을 조회할 수 있었다. 또한, 트랜잭션 기록이 확인된 9개의 주소 모두 비트코인을 남기지 않고 전송한 것으로 확인되었다. 그리고 위 표에서 붉은 글씨로 표시한 2개의 비트코인 주소는 데이터가 조회되지 않는 것으로 보아 잘못된 형식의 주소로 판단된다.

  • LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135
  • bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw

그 중, LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 주소는 비트코인 주소 포맷이 아니기 때문에 라이트코인의 주소로 추측되는데, 트랜잭션 기록은 존재하지 않는다.

분석일(2023년 3월 경)을 기준으로, 공개된 43개의 비트코인 주소의 일반적인 정보는 아래 표와 같다.

No. Address TxCount Balance No. Address TxCount Balance
1 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF 3573 0 23 bc1q6024d73h48fnhwswhwt3hqz2lzw6x99q0nulm4 0 0
2 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 3464 0 24 bc1qwdvexlyvg3mqvqw7g6l09qup0qew80wjj9jh7x 0 0
3 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc 6 0 25 bc1qavrtge4p7dmcrnvhlvuhaarx8rek76wxyk7dgg 0 0
4 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 5 0 26 bc1qagaayd57vr25dlqgk7f00nhz9qepqgnlnt4upu 0 0
5 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk 4 0 27 bc1quvnaxnpqlzq3mdhfddh35j7e7ufxh3gpc56hca 0 0
6 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 2 0 28 bc1qu0pvfmtxawm8s99lcjvxapungtsmkvwyvak6cs 0 0
7 16sYqXancDDiijcuruZecCkdBDwDf4vSEC 2 0 29 bc1qg3zlxxhhcvt6hkuhmqml8y9pas76cajcu9ltdl 0 0
8 bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu 2 0 30 bc1qn7a3g23nzpuytchyyteyhkcse84cnylznl3j32 0 0
9 bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 2 0 31 bc1qhfmqstxp3yp9muvuz29wk77vjtdyrkff4nrxpu 0 0
10 1MTHBCrBKYEthfa16zo9kabt4f9jMJz8Rm 0 0 32 bc1qnh8scrvuqvlzmzgw7eesyrmtes9c5m78duetf3 0 0
11 1NqihEqYaQaWiZkPVdSMiTbt7dTy1LMxgX 0 0 33 bc1q7qry3lsrphmnw3exs7tkwzpvzjcxs942aq8n0y 0 0
12 1N6JphHFaYmYaokS5xH31Z67bvk4ykd9CP 0 0 34 bc1qcmlcxfsy0zlqhh72jvvc4rh7hvwhx6scp27na0 0 0
13 bc1q80vc4yjgg6umedkut3e9mhehxl4q4dcjjyzh59 0 0 35 bc1q498fn0gauj2kkjsg35mlwk2cnxhaqlj7hkh8xy 0 0
14 bc1qlqgu2l2kms5338zuc95kxavctzyy0v705tpvyc 0 0 36 bc1qnz4udqkumjghnm2a3zt0w3ep8fwdcyv3krr3jq 0 0
15 bc1qy6su7vrh7ts5ng2628escmhr98msmzg62ez2sp 0 0 37 bc1qk0saaw7p0wrwla6u7tfjlxrutlgrwnudzx9tyw 0 0
16 bc1q8t69gpxsezdcr8w6tfzp3jeptq4tcp2g9d0mwy 0 0 38 bc1qyue2pgjk09ps7qvfs559k8kee3jkcw4p4vdp57 0 0
17 bc1q9h7yj79sqm4t536q0fdn7n4y2atsvvl22m28ep 0 0 39 bc1q6qfkt06xmrpclht3acmq00p7zyy0ejydu89zwv 0 0
18 bc1qj6y72rk039mqpgtcy7mwjd3eum6cx6027ndgmd 0 0 40 bc1qmge6a7sp659exnx78zhm9zgrw88n6un0rl9trs 0 0
19 bc1qcp557vltuu3qc6pk3ld0ayagrxuf2thp3pjzpe 0 0 41 bc1qcywkd7zqlwmjy36c46dpf8cq6ts6wgkjx0u7cn 0 0
20 bc1ql8wsflrjf9zlusauynzjm83mupq6c9jz9vnqxg 0 0 42 LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 0 0
21 bc1qx60ec3nfd5yhsyyxkzkpts54w970yxj84zrdck 0 0 43 bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw 0 0
22 bc1qunqnjdlvqkjuhtclfp8kzkjpvdz9qnk898xczp 0 0

43개의 주소 중 트랜잭션 기록이 있는 유효한 주소인 9개를 대상으로 암호화폐 추적 솔루션인 "QLUE"를 이용해 분석을 진행했다. 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.

No. Valid Address Type First Tx Date Last Tx Date Send Amount (BTC) Receive Amount (BTC)
1 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF 거래소 (Binance) 2019-07-22 2021-09-01 922.1659523 922.1659523
2 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 거래소 (Binance) 2018-10-02 2020-06-06 1126.67631961 1126.67631961
3 LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 조회되지 않는 주소 - -
4 bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw 조회되지 않는 주소 - -
5 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc 일반 주소 2021-05-13 2022-12-27 0.0361 0.0361
6 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 일반 주소 2021-05-11 2021-06-25 1.87482707 1.87482707
7 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk 일반 주소 2018-09-14 2018-09-14 10 10
8 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 일반 주소 2021-05-12 2021-06-25 0.00064181 0.00064181
9 16sYqXancDDiijcuruZecCkdBDwDf4vSEC 일반 주소 2019-06-24 2019-07-25 0.06 0.06
10 bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu 일반 주소 2022-03-30 2022-03-30 2.54 2.54
11 bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 일반 주소 2022-05-24 2022-07-05 0.51256 0.51256


3. 분석결과 요약

랜섬웨어 공격 그룹은 암호화폐 자금을 현금화하기 위해 거래소 소유의 주소에 전송하거나 Bitcoin ATM 및 암호화폐 결제 서비스 주소에 전송하는 등 다수의 암호화폐 서비스를 이용하려는 시도가 확인되었다.​

3-1) 트랜잭션 추적 중 식별된 암호화폐 서비스 목록

Exchange

암호화폐를 사고 팔 수 있는 거래소

  • Bibox
  • Binance
  • Bithumb
  • Bitmart
  • Bitmex
  • Bitrue
  • Bitstamp
  • Bittrex
  • Bitzlato
  • Bybit
  • Coinbase
  • Coincola
  • Crypto.com
  • Ferma.cc
  • Garantex
  • Gate.io
  • Gemini
  • Huobi
  • Hydra market
  • Ice3
  • Kraken
  • KuCoin
  • Localbitcoins
  • Luno
  • MEXC
  • NairaEx
  • Nexo
  • OKX
  • Paxful
  • TradeOgre
  • Upbit
  • ...​

Payment Processor

암호화폐로 결제를 할 수 있도록 도와주는 서비스

  • Coinspaid
  • Coinpayments

ATM

비트코인을 현금으로 인출할 수 있는 ATM

  • Bitcoin Depot

Cross Chain Bridge

서로 다른 블록체인 간의 거래를 도와주는 서비스

  • renBTC

3-2) 암호화폐 추적 회피 시도

암호화폐 추적을 회피하기 위한 목적으로 Coinjoin 서비스를 이용하거나, Peel Chain 형태의 트랜잭션을 형성하거나, Cross Chain Bridge 서비스를 이용하기도 했다.

  • Wasabi Coinjoin​
[그림 1] Wasabi Coinjoin을 사용한 것으로 식별된 트랜잭션
  • Joinmarket Coinjoin
[그림 2] Joinmarket Coinjoin에 사용된 것으로 식별된 주소로부터 자금이 모이는 트랜잭션
  • Peel Chain
[그림 3] Peel Chain 트랜잭션 형태
  • Cross Chain Bridge
[그림 4] Chain Hopping을 한 것으로 식별된 트랜잭션

3-3) 여러 주소에서 공통적으로 검출된 주소

美 CISA에서 공개한 서로 다른 분석 대상 주소의 트랜잭션 분석 중 동일한 주소가 발견되기도 했다.

CISA Notice Addresses Commonly Detected Addresses Cluster
1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2
16sYqXAncDDiijcuruZecCkdBDwDf4vSEC
1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 Binance
1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF
1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc
19rpCFxpAtuR9T7LmHm53mvGt65m8ju5Vp
1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF
Binance
1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2
1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF
1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s Binance
bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9
1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc
bc1qns9f7yfx3ry9lj6yz7c9er0vwa0ye2eklpzqfw Coinspaid
bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu
1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC
bc1quq29mutxkgxmjfdr7ayj3zd9ad0ld5mrhh89l2 Gemini

4. 결론

  1. 트랜잭션 도중 분리되어 전송된 자금들 중 작은 금액이 아님에도 불구하고 방치된 것이 꽤 있다.
  2. 자금 추적 회피 행위로 CoinjoinPeel Chain 기법을 주로 사용했다.
  3. renBTC 서비스를 이용해서 Chain Hopping을 했다.
  4. 자금을 전송한 거래소 중 가장 많은 비중을 차지한 거래소는 "Binance" 이다.
  5. 7개의 주요 분석 대상 주소에서는 2018년 9월부터 2022년 12월까지 트랜잭션이 발생했다.
  6. 다크 웹 거래소인 Hydra Market을 사용한 기록이 있다.​
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.