[너와나] 지난해 "北이 훔친 코인 2조원" 자금 추적 환수 나선 韓.美

지난해 북한이 훔친 코인 2조 원, 자금 추적 환수 나선 대한민국과 미국은 116만 달러 모두 동결됐다.

北이 훔친 코인 2조원 자금 추적 환수 나선 韓.美

2월 경기 성남시 판교 제2테크노밸리에 위치한 국가사이버안보협력센터 북한 정찰총국 산하 해킹 조직의 것으로 추정되는 지갑들이 거래 정지됐다는 소식을 전달받은 요원들이 그때서야 안도의 한숨을 내쉬었다.

북한의 대표적인 해킹 조직 라자루스는 미국 블록체인 기업 하모니로부터 해킹한 가상화폐 116만 달러어치를 현금화하려고 했다. 그 직전 한/미 합동조사단이 거래를 정지시킨 것, 해킹 직후부터 자금을 쫓았던 조사단은 올 1월 150여 개 가상화폐 지갑에 분산돼 있던 탈취 자금의 흐름을 파악해 추적해 왔다.

노르웨이 수사기관과 중국계 거래소 바이낸스도 북한이 하모니로부터 해킹한 가상화폐를 잇달아 환수했다. 정부 관계자는 수십 년간 북한 해킹 조직을 추적해 온 국가정보원의 정보력에 미국 정부와 보안 기업의 기술력 글로벌 가상화폐거래소의 협조가 더해져 만든 쾌거라고 평가했다.

또한 최근 뚫으려는 북한과 막으려는 국제사회는 가상화폐 해킹을 비롯한 사이버 분야에서 총성 없는 전쟁을 벌이고 있다. 국제사회의 촘촘한 제재망에 포위된 북한이 보안이 취약한 가상화폐로 눈을 돌려 관련 업체를 해킹해 가상화폐를 훔치자 국제사회는 도난당한 가상화폐를 추적해 되찾아내는 반격에 적극 나서고 있다.

미국 블록체인 분석 업체인 체이널리시스의 분석에 따르면 북한에 의한 가상화폐 해킹 피해액은 지난해 16억 5100만 달러로 역대 최대치를 찍었다. 2019년 이후 매년 10~40% 수준으로 꾸준히 증가하다가 지난해 전년 대비 284%나 급격하게 불어 낮고 지난해 전 세계에서 도난당한 가상화폐 38억 달러 중 북한 해커가 훔친 액수만 43%에 달했다.

과거 국내외 거래소를 주로 해킹했던 북한은 최근에는 가상화폐 거래 인증서인 노드키 해킹부터 랜섬웨어까지 다양한 방식을 활용해 가상화폐를 탈취하고 있다. 일례로 북한은 지난해 3월 게임 업체 엑시인피니티의 가상화폐 입출금 권한인 노드키를 해킹해 6억 2000만 달러어치의 가상화폐를 훔쳤다.

북한은 훔친 USD코인을 이더리움, 비트코인으로 변환시킨 뒤 자금세탁을 돕는 믹서 업체로 보내 출처를 불분명하게 만들었다.

북한은 2021년에는 일본계 가상화폐 거래소인 리퀴드닷컴의 보안 취약점을 노려 가상화폐 9135만 달러어치를 해킹한 뒤 이 돈을 아시아의 거래소로 입금시켰다. 한 해킹 조직이 3월 가상화폐 대출 업체인 오일러파이낸스를 시세 조작을 이용한 해킹인 플래시론 방식으로 공격해 1억 9700만 달러의 가상화폐를 훔친 사건도 국제사회는 북한의 소행으로 보고 있다.

한 정보보안 전문가는 북한 해커들은 수단과 방법을 가리지 않고 끊임없이 수법을 진화시키고 있다며 해킹에 목숨을 건 수준이라고 지적했다.

북한이 가상화폐 해킹에 몰두하는 건 현재 가장 효과적인 외화벌이 수단이라고 판단했기 때문으로 보인다. 핵 미사일 위협을 가중시킨 북한에 국제사회는 경제 제재망을 촘촘하게 더했다. 여기에 신종 코로나바이러스 감염증 여파로 중국, 러시아와의 국경 봉쇄까지 장기화되면서 북한은 그나마 마약, 희귀 동물, 슈퍼노트 일수 등 기존 외화벌이 방식까지 유지하기 어려워졌다.

그러다 보니 최근 거래량이 비약적으로 늘었지만 상대적으로 보안이 취약한 가상화폐 관련 업체들을 북한이 새로운 먹잇감으로 찍은 것이다. 북한이 최근 몇 년 사이 가상화폐 해킹을 통해 핵 미사일 시험 발사에 필요한 천문학적 비용을 조달해 왔다는 것이 국제사회의 공통된 분석이다.

지난해 북한 해킹 조직이 훔친 가상화폐 규모는 16억 5000만 달러 약 2조 1000억 원 수준인데 이는 한 발에 약 2000만 달러 가량 드는 대륙간탄도미사일을 82발이나 쏠 수 있는 액수다. 정부는 북한이 지난해 71발의 미사일을 발사하는 데 총 2억 달러가 들었다고 보고 있다. 북한 해커들이 지난해 훔친 가상화폐의 12%만 현금화해도 미사일 발사 비용을 충당할 수 있다는 의미다.

국제사회 북측 해킹 자금 절반 회수하며 반격

미국을 주축으로 한 국제사회는 적극 반격에 나섰다. 전 세계 수사기관이 나서서 북한의 해킹에 대응한 결과 특히 지난해부턴 도난당한 가상화폐를 회수하는 사례도 자주 목격되고 있다. 대표적으로 미 연방수사국은 지난해 9월  라자루스 그룹이 엑시인피니티로부터 해킹한 가상화폐 6억 1500만 달러 중 3000만 달러를 회수했다고 밝혔다. 북한이 해킹에 나선 지 6개월 만의 쾌거였다.

미 연방수사국은 국제 공조를 통해 북한 해킹 조직의 가상화폐 지갑을 파악한 뒤 수개월간 자금 흐름을 추적했다. 이후 북한 해커들이 훔친 가상화폐를 현금으로 바꾸기 직전 거래소의 협조를 얻어 거래를 정지시킨 것이다. 미 연방수사국은 북한 해킹 조직이 지난해 미 캔자스주의 한 병원에 램섬웨어를 유포한 뒤 몸값으로 받아낸 비트코인 50만 달러어치를 중국계 자금세탁 업체로부터 압수해 환수하기도 했다.

국제사회가 북한의 해킹 자금을 환수할 수 있는 것은 국제적 정보 공유를 통해 북한의 자금 이동을 확인하게 됐기 때문이다. 한 블록체인 분석 업체 관계자는 한/미는 북한 해킹 조직의 지갑 주소 등에 대해 많은 정보를 가지고 있다며 해킹 피해가 발생하는 순간부터 자금 흐름을 좇을 수 있고, 이 과정에서 북한에 대해 최고 전문가인 국가정보원도 주요 역할을 하고 있다고 했다.

다른 블록체인 분석 업체 관계자는 몇 년 전부터 북한의 가상화폐 관련 업체 해킹이 늘어나면서 거래소들도 자금세탁방지를 위한 다양한 장치를 만들어뒀다고 강조했다. 이어 북한이 해킹한 돈을 곧바로 출금하지 않고 소액으로 나누어 오랜 시간에 걸쳐 현금화하기 때문에 국제사회가 이를 추적해 충분히 환수할 수 있다고 덧붙었다.

미국이 북한의 자금세탁을 돕는 믹서 업체에 대해 강도 높은 제재를 해온 것도 북한에 의한 가상화폐 해킹 피해를 줄이는 효과적인 방법으로 꼽힌다. 미국 재무부는 지난해 북한의 자금세탁에 관여한 믹서 업체 블렌더와 토네이도 캐시를 블랙리스트에 올리고 미국 내 거래를 금지했다.

미 법무부는 3월 독일과 협력해 북한의 자금세탁을 도운 믹서 업체 칩믹서를 단속했다. 업계에서는 블렌더 토네이도 캐시 등이 문을 닫은 만큼 믹서 업체들도 생존을 위해 북한 해킹 의심 자금을 접하는 순간 당국에 신고하는 등 변화가 생길 것이라고 보고 있다.

전문가들은 디지털 자산 자금세탁 방지 협약 맺어야

다만 정보 보안업계 전문가들은 북한의 가상화폐 해킹이 앞으로도 이어질 것이라고 보고 있다. 국가안보전략연구원 김보미 부연구원은 북한은 가상화폐 해킹에 특별한 비용이 들지 않는 데 비해 수익성이 높고 공격 출처를 추적하기 어렵다는 점에 매력을 느낄 것이라며 김정은 정권은 재정적 어려움을 극복하기 위해 지속적으로 가상화폐 관련 사이버 공격을 전개해 나갈 것이라고 전망했다.

전문가들은 북한의 가상화폐 해킹 대응을 위해 지금보다 더 촘촘한 대응을 강조했다. 임종인 고려대 정보보호대학원 석좌교수는 비공식적으로 협업하는 것에서 더 나아가 디지털 자산 보안과 자금세탁 방지를 위한 외교적 협정을 맺는 것이 필요하다고 전했다. 또 미국은 정부가 자국 기업의 해외 서버에 저장된 테이터를 열람할 수 있도록 한 클라우드 액트법을 두고 있다면서 우리가 클라우드 액트에 적극 참여하는 것도 고려할 만하다고 했다.

남성욱 고려대 통일융합연구원장은 국제사회가 북한에 공세적으로 대응하다 보면 해킹 공격이 오히려 약해질 것이라고 강조했다. 정부 당국자는 해커들은 주로 해외 서버를 악용하고 있어 국제 수사공조가 필수적이라며 타국과 정보를 공유할 수 있는 근거라고 했다. 정보수사기관이 공세적 업무를  할 수 있는 법적 근거를 국내법에 마련해야 한다고 했다.