FBI와 공조한 경찰, 북한 정찰총국 소행 결론
라자루스-안다리엘, 34만 개 빼돌려 분산·세탁
가상자산거래소 대상 北 소행 범죄 국내 첫 사례

5년 전 국내 가상자산 거래소가 보관하던 580억원 규모의 가상화폐 탈취 사건이 북한 소행으로 확인됐다. 현 시세로 따지면 무려 1조4,700억원 상당이다. 그간 북한의 가상자산 해킹에 대한 UN(국제연합) 보고서나 주요국 정부의 발표는 있었지만, 국내 수사 기관이 북한의 가상화폐 해킹을 공식 확인한 것은 이번이 처음이다. 해킹으로 외화벌이를 하고도 발뺌해 온 북한의 민낯이 드러난 가운데, 북한이 해킹한 가상화폐를 다시 무기 개발 비용으로 전용하고 있어 방어책 마련이 시급하단 지적이 나온다.

경찰, FBI와 공조 北 IP주소 확인

21일 경찰청 국가수사본부는 2019년 11월 가산자산 거래소 업비트에서 보관 중이던 이더리움 34만2,000개가 탈취된 사건과 관련해 북한 해킹 조직 ‘라자루스(Lazarus)’와 ‘안다리엘(Andariel)’이 범행을 저지른 것으로 확인됐다고 밝혔다. 피해 규모는 당시 시세로는 580억원, 현재 기준으로는 1조4,700억원에 달한다. 그동안 라자루스는 정부기관 및 금융기관을, 안다리엘은 군 및 국방산업을 주로 공격해 왔다.

경찰은 유사 범죄를 우려해 구체적인 공격 방법은 공개하지 않았다. 다만 북한의 인터넷주소(IP)와 가상자산의 흐름, 북한 단어 사용 기록, 미국 연방수사국(FBI)과의 공조로 확보한 자료 등을 통해 북한 소행으로 결론지었다고 설명했다. 당시 해킹에 사용된 컴퓨터에서 북한 말인 ‘헐한 일(중요하지 않은 일)’이라는 용어가 사용된 흔적이 발견되기도 했다.

경찰은 해킹조직이 이더리움 34만 개를 단 한 번의 공격으로 빼돌렸다고 밝혔다. 이 가운데 57%는 자신들이 자체적으로 만든 가상자산 교환 사이트 3곳에 보낸 뒤 시세보다 2.5% 싼 가격에 비트코인으로 바꿔치기했다. 이후 비트코인을 현금화하는 방식으로 자금을 세탁한 것으로 추정된다. 나머지 이더리움 43%는 중국, 미국, 홍콩, 스위스 등 13개국 51개 거래소로 분산 전송한 뒤 세탁했다.

북한은 이 과정에서 ‘코인 믹싱(mixing)’을 통해 자금을 세탁한 것으로 밝혀졌다. 믹싱은 입금자의 가상자산과 다른 사용자들의 가상자산을 섞어 추적을 어렵게 만들거나 끊기게 하는 기술이다. 당초 믹싱은 사용자의 정보를 보호하기 위해 고안됐지만 북한은 이를 수사기관의 추적을 피하기 위한 수단으로 악용한 것이다.

경찰은 스위스 검찰로부터 2020년 10월 비트코인으로 바꿔치기된 일부 가상자산이 스위스의 한 가상자산 거래소에 보관됐다는 사실을 입수했다. 이후 4년에 걸쳐 스위스 정부에 해당 비트코인이 국내에서 탈취한 자산이라는 점을 증명한 뒤 피해 자산 중 일부인 4.8비트코인(한화 약 6억원)을 환수해 업비트 측에 돌려줬다.

北 핵무기 개발 '돈줄', 기승하는 해킹부대

북한의 해킹조직이 우리나라 가상자산 거래소를 탈취한 사실이 확인된 건 이번이 처음이지만, 이미 해외에선 악명을 떨치고 있다. 북한의 해킹조직들은 주로 군사정보기관인 정찰총국과 연계돼 있으며, 라자루스와 안다리엘을 비롯해 김수키(Kimsuky), 블루노로프(BlueNoroff), 스카크루프트(ScarCruft), APT38 등 여러 조직이 활동하고 있다.

북한이 해킹으로 탈취한 가상자산을 세탁하기 위해 사용하는 토네이도 캐시(Tornado Cash)가 2022년 8월 미국 재무부 해외자산통제국(OFAC) 제재명단에 이름을 올렸음에도 가상자산 해킹을 활용한 북한의 외화벌이 사업은 그 기세가 여전히 꺾이지 않는 형세다. 지난 7월 인도의 최대 가상자산 거래소에서도 약 2억 달러(약 2,805억원)의 피해를 본 사건이 발생했는데, 이 역시 라자루스가 배후로 지목됐다. 일본에서도 3,500만 달러 규모의 가상자산 탈취 배후로 라자루스가 의심받고 있다.

북한 해커들이 탈취한 가상자산 규모는 북한 GDP(국내총생산)의 4분의 1 수준에 이른다. UN 대북제재위원회 전문가 패널이 안전보장이사회에 제출한 보고서에 따르면 북한 해커들은 사이버 절도를 통해 2022년에만 17억 달러(약 2조2,000억원)의 가상자산을 조달하는 것으로 추정된다. 이는 기존 기록을 넘어선 최대 규모다. 지난해는 10억 달러, 2021년은 4억2,900만 달러로 3년간 총 31억2,900만 달러(약 4조1,700억원)를 탈취했다. 북한은 약탈적 사이버 활동을 지속하기 위해 IT 인력을 해외에 파견까지 한 것으로 드러났다.

문제는 북한이 훔친 가상자산을 핵무기와 미사일 등 대량살상무기(WMD) 개발을 위한 자금원으로 활용하고 있다는 점이다. 미국 국무부는 북한 무기 개발 자금의 최소 30% 이상은 가상화폐 거래소 해킹 자금에서 나오는 것으로 보고 있다. 국무부는 최근 러시아의 북한 무기 주문이 늘어나면서 무기 생산비용 조달을 위해 가상화폐 해킹의 빈도와 규모도 점점 늘어나고 있는 것으로 보고 있다.

북한 해커들은 자금세탁과 현금화를 위해 각종 앱 결제 서비스는 물론 오프라인상에서 암거래까지 하는 것으로 알려졌다. BBC에 따르면 북한 라자루스는 캄보디아의 환전, 결제 앱 서비스인 '후이원 페이(Huione Pay)'에서 탈취한 비트코인 중 일부 자금을 현금화했다. 또한 카타르, 바레인 등에 주재한 외교관들을 동원해 가상화폐 판매에도 나서고 있는 것으로 파악됐다.

보안 조치 의무화 시급

이에 우리나라에도 유럽의 가상자산법(Markets in Crypto-Assets Regulation, MiCA)과 같은 규제 도입이 시급하다는 목소리가 커지고 있다. 가상자산 사업자뿐만 아니라 코인 발행 기업도 정보보호 및 개인정보보호관리체계 인증(ISMS) 등 보안 조치를 취하도록 규제해야 한다는 것이다. 현재 가상자산이용자보호법이 시행되고 있으나 금융당국이 코인 발행기업을 규제할 방법은 사실상 없다.

가상자산이용자보호법은 가상자산 이용자를 보호하고 가상자산시장의 건전한 거래질서를 확립하기 위해 제정된 법으로 가상자산 1단계 입법으로 불린다. 관련 법에 따르면 가상자산의 정의와 가상자산에서 제외되는 대상을 규정하고, 가상자산사업자에 대해 이용자의 예치금과 가상자산을 안전하게 보관·관리하도록 의무를 부과한다. 그런데 코인 발행기업은 규제 대상인 가상자산 사업자에 해당되지 않아 해당 의무가 없다. 이렇다 보니 당국은 코인 발행기업에 보안 조치를 요구할 수조차 없는 상황이다. 금융감독원 관계자는 "1단계 법안으로는 코인 발행기업을 규제할 방법은 없다"며 "이들 대부분은 해외에 있기 때문에 공식적으로 금융감독원이 규제하는 경계를 벗어난다"고 밝혔다.

반면 MiCA는 가상자산공개(ICO)에 대한 규정을 마련해 가상자산 보유, 저장, 이전에 관한 기반기술 및 표준에 대한 설명 등 가상자산 발행과 관련된 지침을 구체적으로 명시하고 있다. 한 암호화폐 전문가는 "현행 가상자산 관련법으로는 코인 발행기업과 사채업자가 사실상 차이가 없는 실정"이라며 "해외 사례를 참고해 가상자산 사업자뿐만 아니라 코인 발행기업을 대상으로 하는 보안 규정을 마련해 건전한 시장을 조성할 필요가 있다"고 강조했다.