‘스나이퍼식’ 수법 3조 해킹한 북한…가상자산 ‘대형 한방’ 노린다

경찰청 사이버테러수사대장 이승운 경정이 지난 2023년 11월 21일 서울 서대문구 국가수사본부에서 북한 해킹조직 정부기관·언론사 등 사칭 전자우편 주의 브리핑을 하고 있다. [연합뉴스]

북한 연계 해킹 조직이 가상자산 해킹 수법을 고도화하며 올해에만 약 3조 원 규모의 자산을 탈취한 것으로 나타났다. 무차별적인 공격 대신 성공 가능성이 높은 대형 표적에 화력을 집중하는 ‘스나이퍼식’ 전략으로 선회하면서 피해 규모가 역대 최대치를 기록했다.

21일 보안업계 및 미국 블록체인 데이터 분석 기업 체이널리시스 보고서에 따르면, 2025년 북한 연계 조직이 탈취한 가상자산 규모는 약 20억 2000만 달러(한화 약 3조 원)로 집계됐다. 이는 지난해(약 13억 달러)보다 51% 급증한 수치다.

올해 북한의 전체 공격 횟수는 전년 대비 약 74% 급감했으나, 건당 피해 규모는 오히려 비약적으로 커졌다. 올해 전 세계 가상자산 서비스 침해액 중 북한이 차지하는 비중은 76%에 달한다.

과거 보안이 취약한 탈중앙화 금융(DeFi)을 노리던 것과 달리, 올해는 업비트, 바이비트 등 대형 중앙화 거래소(CEX)와 핵심 인프라를 정조준했다. 지난 2월 발생한 바이비트의 15억 달러 해킹 사건이 대표적인 사례다.

체이널리시스는 “북한 해커들은 수개월간 타깃을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 ‘대어’에 모든 자원을 투입한다”고 분석했다.

탈취한 자금을 세탁하는 과정에서도 북한만의 독특한 ‘지문’이 발견됐다. 북한 연계 조직은 훔친 자산의 60% 이상을 50만 달러(약 7억4000만 원) 이하의 소액 단위로 잘게 쪼개 수천 개의 주소로 옮기는 패턴을 보였다. 이는 대액 거래를 집중 감시하는 거래소와 수사 당국의 AI 모니터링 시스템을 회피하기 위한 전략이다.

보고서는 북한이 이러한 분할 송금과 환전 과정을 거쳐 통상 45일 이내에 1차 세탁 사이클을 마무리한다고 밝혔다.

해킹 직후의 집중 감시 기간을 ‘스테이징(대기)’ 단계로 버틴 뒤, 감시가 느슨해지는 시점에 전격적으로 자금을 이동시키는 것이다.

특히 캄보디아 기반의 결제 그룹인 후이원(Huione)은 북한 자금 세탁의 핵심 노드로 지목됐다. 미국 재무부 산하 금융범죄단속망(FinCEN)은 올해 후이원 그룹을 ‘주요 자금세탁 우려 기관’으로 지정했다.

조사 결과, 후이원 그룹은 2021년부터 2025년 초까지 최소 40억 달러의 불법 자금을 세탁했으며, 이 중 상당액이 북한의 사이버 공격에서 유입된 것으로 파악됐다.

최근에는 기술적 침투뿐만 아니라 채용 담당자를 사칭해 악성 코드를 유포하는 ‘사회공학적 기법’도 적극 활용하고 있다. 전문가들은 북한의 해킹이 국가 차원의 정교한 금융 작전으로 진화한 만큼, 단순 금액 기반 감시에서 벗어나 북한 특유의 거래 패턴을 실시간으로 탐지하는 대응 전략이 시급하다고 지적했다.

김광태 기자 ktkim@dt.co.kr