"북한, 지난해 4억 달러 규모 가상화폐 해킹"

"북한의 사이버 범죄자들이 지난해 '아주 성공적인 한 해'(banner year)를 보냈다."

미국의 블록체인 분석업체 체이널리시스가 13일(현지시간) 공개한 보고서에서 내린 평가다. 지난해 해킹을 통해 북한이 얻은 가상화폐 소득이 4억 달러(한화 4600억원)에 이른다고 추산하면서다. 미국이 대북 제재를 본격적으로 옥죄기 시작했지만, 기존 제재가 사이버 공간까지 철저히 단속하기는 어려운 점을 노려 돈벌이를 하는 정황이다.

━

정찰총국 연계 '라자루스 그룹' 주도

북한의 해킹 공격은 주로 투자 회사와 거래소에 집중됐다. 특히 북한 정찰총국과 연계된 해킹 단체 '라자루스 그룹'이 주도했다. 라자루스 그룹은 PT38, 스카크러프트(APT 37), 안다리엘 등과 더불어 대표적인 북한의 해킹 조직으로 꼽힌다.

라자루스 그룹은 현재 유엔 안보리와 미국의 제재 명단에 모두 올라있다. 지난 2014년 미국 소니 픽처스를 해킹한 의혹으로 악명을 떨친 뒤 주로 가상 화폐 관련 범죄로 눈을 돌렸다. 2018년부터 매년 2억만 달러가 넘는 수익을 끌어모았다. 유엔 안보리는 라자루스 그룹의 수익이 북한의 대량살상무기(WMD)와 탄도미사일 개발에 사용된다고 보고 있다.

북한의 해킹 조직들은 최근에도 활발히 활동해 지난해부터 총 해킹 건수가 4건에서 7건으로, 관련 수익은 140% 수준으로 증가했다는 게 채이널리시스의 분석이다.

북한 해킹 그룹의 연간 해킹 건수와 수입. 채이널리시스 보고서 캡쳐.

━

"디파이 플랫폼 등 고도화 수법 사용"

북한의 해킹 그룹은 피싱, 악성코드, 악성 소프트웨어를 이용해 가상 자산을 탈취해 북한으로 빼돌린다. 또 탈중앙화 금융서비스인 디파이(DeFi) 플랫폼 등 고도화된 수법을 활용하는 것으로 나타났다. 채이널리시스는 "디파이는 사용자 정보를 수집하지 않아 (해킹 그룹이)정체를 노출하지 않고 자산이 동결될 위험 없이 거래소를 이용할 수 있다"고 지적했다.

가상 자산 탈취 후 전형적인 '돈세탁' 수법은 복잡하고도 정교하다. 알트코인과 ERC-20 토큰 등을 거래소에서 이더리움으로 교환 → 기존 이더리움과 섞기 → 섞은 이더리움을 비트코인으로 교환 → 기존 비트코인과 섞어 세탁 → 새로운 지갑에 저장 → 아시아에 기반을 둔 가상화폐 거래소로 이전 → 현금화 절차를 따른다고 한다.

━

"곧바로 돈세탁 안 해...그만큼 신중"

북한은 현재 약 1억 7000만의 암호 화폐를 세탁하지 않고 보유하고 있다고 한다.

이와 관련 체이널리시스는 "북한의 해커들이 가상 자산 탈취 뒤 항상 곧바로 돈세탁에 들어가는 건 아니라는 뜻"이라며 "이유는 알 수 없지만 사법 당국이 주의를 늦출 때 감시망을 피해 현금화를 시도하기 위한 것으로 보인다"고 분석했다. 이어 "그만큼 (해커들이) 절박하거나 성급하게 굴지 않고 신중하게 계획을 짠다는 의미"라고 평가했다.

한편 북한이 해킹한 가상 자산 중 이더리움으로 보유하고 있는 비율이 전체의 58%로 가장 높은 것으로 나타났다, 비트코인의 비율은 20%로 2017년 100%였던 것에서 5분의 1 수준으로 하락했다.

북한이 해킹한 가상화폐의 종류. 채이널리시스 보고서 캡쳐.

박현주 기자 park.hyunju@joongang.co.kr