라스트패스 해킹: 러시아 해커가 세탁한 3,500만 달러의 암호화폐

블록체인 인텔리전스 기업 TRM Labs가 발표한 심층 분석에 따르면, 러시아 사이버 범죄자들로 구성된 조직이 3,500만 달러 이상의 암호화폐를 세탁한 혐의를 받고 있다고 합니다. 이 자금은 2022년에 발생한 악명 높은 시스템 침해 사건에 이어 라스트패스 사용자들로부터 조직적으로 탈취한 것입니다.

이 보고서는 이 공격이 단발적인 사건이 아니라 수년에 걸쳐 진행된 지갑 탈취 캠페인이었다고 강조합니다. 연구진은 최초 침해 이후 시간이 지났음에도 불구하고 공격자들이 2025년 말까지 침해된 '금고'에서 자산을 계속 인출한 것을 확인했습니다.

자금 추적: 믹서에서 러시아 플랫폼까지

TRM 랩의 기술 분석을 통해 정교한 자금 세탁 계획이 드러났습니다. 범죄자들은 정확한 프로토콜을 따랐습니다. 처음에는 비트코인 이외의 자산을 즉석 교환 서비스를 통해 비트코인으로 전환했습니다. 이후 자금은 와사비 월렛과 코인조인 같은 믹싱 서비스에 공급되었습니다.

이러한 도구는 여러 사용자의 거래를 '혼합'하도록 설계되었기 때문에 이론적으로 자금의 출처와 최종 목적지를 추적하는 것이 불가능합니다. 하지만 이번 사건에서 개인정보 보호 기술은 한계를 드러냈습니다.

수사의 전환점: '디믹싱'

TRM 랩의 분석가들은 이른바 '행동 연속성 분석'을 통해 움직임을 해독하여 '디믹싱' 작업을 수행할 수 있었습니다. 전문가들은 다양한 도난을 하나의 조직화된 그룹으로 연결할 수 있는 '일정한 온체인 서명'을 확인했습니다.

조사관들은 지갑 소프트웨어가 개인 키를 가져오는 방법과 같은 특정 지문을 추적하여 혼합 과정을 '풀었다'고 합니다. 이를 통해 러시아에 위치한 거래소에 최종 입금되기까지 자금의 흐름을 추적할 수 있었습니다.

불법 인프라와 국제 제재

탈취한 자금은 국제 당국에 악명이 높은 플랫폼에 입금되었습니다. 약 700만 달러는 러시아 사이버 범죄 생태계에서 운영되는 거래소 서비스인 Audi6로 추적되었습니다. 또 다른 자금의 상당 부분은 불법 거래를 조장하는 역할로 현재 미국 해외자산통제국(OFAC)의 제재를 받고 있는 거래소인 Cryptex를 통해 유입되었습니다.

LastPass와 관련된 자금 세탁 활동을 분석한 결과 두 단계에 걸쳐 러시아 거래소로 자금이 유입된 것으로 나타났습니다. 첫 번째 단계에서는 훔친 자금이 지금은 사라진 Cryptomixer.io를 거쳐 2024년 OFAC의 제재를 받은 러시아 기반 거래소인 Cryptex를 통해 법정화폐로 전환되었으며, TRM이 보고서에서 밝혔듯이

TRM Traces Stolen Crypto from 2022 LastPass Breach - -. 온체인 지표는 러시아 사이버 범죄의 개입을 시사합니다 | TRM 블로그

TRM은 믹서를 통해 러시아 고위험 거래소에 라스트패스와 연계된 비트코인 세탁을 추적했습니다, 디믹싱이 어떻게 인프라 재사용을 노출하고 믹서의 익명성을 제한하는지 보여줍니다.

TRM 블로그TRM 팀

이 보고서는 믹서들과 상호작용한 지갑이 세탁 과정 전후에 러시아와의 "운영 연결"을 보여주었다고 지적하고 있습니다. 이 세부 사항은 해커들이 단순히 현지 인프라를 사용한 것이 아니라 러시아에서 직접 활동했음을 시사합니다.

글로벌 보안에 대한 경각심

이 사례는 글로벌 규모의 사이버 범죄를 지원하는 러시아 암호화폐 플랫폼의 중심 역할을 강조합니다. 이러한 거래소는 도난당한 디지털 자산에 유동성과 출구 경로(오프 램프)를 제공함으로써 범죄 집단이 국제 법 집행을 피하면서 데이터 침해로 수익을 창출할 수 있도록 합니다.

LastPass 사용자와 전체 암호화폐 커뮤니티에 대한 메시지는 분명합니다. 과거의 취약점이 수년간 지속되는 위협을 일으킬 수 있으므로 지속적인 경계와 사전 보안 조치가 필수적입니다.