코인 탈취로 2년 만에 4조원 번 북한, 안보리 제재 속 외화벌이 수단

日·싱가포르 거래소 등 해킹
러·캄보디아서 자금 세탁
브로커 통해 현금화, 무기 거래 등 사용

북한이 작년부터 올해 9월까지 총 4조원 규모의 가상자산을 탈취한 것으로 드러났다. 북한은 탈취한 가상자산을 세탁한 뒤 현금화해 대량살상무기(WMD)와 탄도미사일 개발에 쓴 것으로 관측된다. 국제사회 제재로 외화 획득이 막힌 북한 정권이 해킹을 사실상 ‘국가 수익사업’으로 활용하는 모양새다.

캄보디아 등 해외 브로커 통해 현금화

24일 다국적 제재 모니터링팀(MSMT) 보고서에 따르면 북한은 2024년 1월부터 2025년 9월까지 총 28억4,000만 달러(약 4조원)의 가상자산을 탈취했으며, 올해에만 16억5,000만 달러(약 2조3,000억원)를 빼돌린 것으로 추정된다. MSMT는 러시아의 거부권 행사로 활동이 중단된 국제연합(UN) 안전보장이사회(안보리) 산하 대북제재위원회 전문가 패널을 대체해 북한의 대북 제재 이행 감시를 위해 작년 10월 발족한 협의체다. 한·미·일과 영국, 프랑스, 독일 등 11개국이 참여하고 있다.

북한의 사이버 조직은 가상자산을 탈취하기 위해 투자자와 사업가 등으로 위장해 해외 가상자산 거래소와 접촉한 것으로 파악된다. 북한은 가상자산 거래소 운영자로부터 악성 소프트웨어(SW)를 내려받도록 유도하는 기법을 활용한 것으로 전해졌다. MSMT는 “북한은 악성 사이버 활동을 펼치는 과정에서 러시아 랜섬웨어 조직 등과도 협력했다”고 전했다.

보고서에는 자금 세탁 과정에서 최근 한국인 대상 납치·감금·고문 등이 불거진 캄보디아의 기업형 범죄조직과 연관됐다는 내용도 담겼다. UN 제재 대상인 북한 정찰총국과 관련된 북한 국적자들은 캄보디아 금융서비스 대기업 후이원(Huione) 소속 직원들과 긴밀한 관계를 유지하며 지난해 5월 일본 DMM비트코인 등으로부터 훔친 3,760만 달러(약 540억원) 등을 포함한 자금 세탁에 활용했다.

북한은 또 사이버 공격을 통해 한국, 미국, 영국, 중국 등의 군사·과학·에너지 분야 기술 정보도 탈취한 것으로도 드러났다. 북한 정찰총국 산하 해커 조직 ‘안다리엘’은 소프트웨어 공급망 공격 등을 통해 한국 방산 분야 정보를 빼냈으며, 또 다른 해킹 조직 ‘킴수키(Kimsuky)’는 악성코드를 대량 유포해 한국 건설 분야 자료를 수집한 것으로 확인됐다.

북한은 가상자산을 결제 수단으로 활용해 안보리 결의상 금지된 금·구리 등 원자재 거래에도 이용하고 있다고 보고서는 밝혔다. UN 제재 대상 단체의 지휘·통제를 받는 북한 사이버 조직에 자금을 이전하는 것은 UN 안보리 결의 위반이다. MSMT는 북한의 IT 인력 약 1,000~2,000명이 중국, 러시아, 라오스, 캄보디아 등 최소 8개국에 체류 중이라고 전했다. 중국에는 1,000~1,500명, 러시아에는 150~300명, 라오스에는 20~40명이 머무르고 있으며, 이들은 소득의 절반가량을 북한으로 송금하는 것으로 추정된다.

고액 암호화폐 투자자 겨냥 공격 급증

이처럼 북한 해외 노동자의 고용을 금지한 안보리 결의에도 불구하고 북한 IT 인력이 해외에서 창출하는 수익은 갈수록 증가하는 추세다. 북한 IT 인력은 지난해에만 3억5,000만~8억 달러(약 5,000억~1조1,000억원)의 외화를 벌어들인 것으로 추정된다. 이들은 주로 미국·유럽의 인공지능(AI), 블록체인, 웹사이트 개발, 방위산업, 정부 프로젝트 등 일감을 수주해 돈을 벌고 있다. 합성 정보 생성, 계정거래 서비스를 통해 기인증 계정을 구매·대여해 가상의 인물을 구축하고, 원격근무가 가능한 업체에 직접 지원하는 등 방법으로 일감을 수주한 뒤 은행·금융서비스, 가상자산 등을 활용해 대가를 받는다.

북한 소행으로 추정되는 올해 최악의 해킹 사건은 지난 2월 발생한 암호화폐 거래소 '바이비트 사건'이다. 북한 해커 조직은 당시 14억 달러(약 2조원)에 달하는 디지털 자산을 손에 넣었다. 올해 7월에는 또 다른 거래소 WOO X가 공격 당해 사용자 9명이 총 1,400만 달러(약 200억원)를 도둑맞았고, 최근에는 시디파이에서 120만 달러(약 17억원) 상당의 디지털 코인이 도난당했다.

또한 이들 조직은 대규모 탈취를 위해 주로 암호화폐 기업을 집중 공격하는 데 그치지 않고, 기업에 비해 보안 조치가 허술한 부유한 개인 투자자들도 표적으로 삼은 것으로 알려졌다. 올해 8월까지 개인을 대상으로 한 암호화폐 탈취 사건 중 최대 피해액은 1억 달러(약 1,400억원)에 이른다. 블록체인 분석업체 엘립틱의 수석과학자 톰 로빈슨 박사는 "기업보다 개인을 표적으로 삼을 경우 사건 공개 가능성이 낮아, 실제 해킹 규모는 알려진 수치보다 더 클 수 있다"며 "특정 사이버 절도를 북한의 소행으로 단정 지을 정확한 공식이 있는 것은 아니기에 보고되지 않은 탈취 사건이 더 있을 가능성이 크다"고 말했다.

해킹 수익, 北 GDP 절반 육박

북한이 불법 탈취에 사활을 걸고 있는 것은 정권 수익을 창출하기 위해서다. 이들 자금 대부분은 불법 대량살상무기 및 탄도미사일 프로그램 개발에 사용되는 것으로 알려졌다. 안보리 경제 제재로 인해 외화를 획득할 방법이 사실상 막힌 북한은 10년 전부터 7,000명 규모의 엘리트 사이버 부대원을 양성하며 해킹에 몰두하는 중으로, 그 수법도 해를 거듭할수록 고도화되는 형세다. 2000년대 초 북한은 사회 혼란을 유도하기 위해 방송, 은행, 공공 기관 해킹에 주력했고, 이후에는 온라인 게임을 타깃으로 삼았다. 해킹된 게임 아이템은 아이템 거래 사이트에서 매매해 수익을 얻었다.

하지만 게임 해킹으로는 실익이 낮자, 북한은 가상화폐로 눈을 돌리기 시작했다. 2022년까지 해킹 방식은 사회 공학적인 스미싱을 결합해 악성 코드를 설치하도록 유도한 방식이 대부분이었다. 기존의 온라인 게임 해킹 툴과 거의 코드의 구성이 비슷했고 차별화된 방식은 아니었다. 여기에 가상화폐업계가 생각보다 보안에 허술한 점도 한 몫을 했다.

2023년 후반부터 북한은 가장 많이 사용하는 가상화폐 지갑인 메타마스크에 집중하기 시작했다. 메타마스크가 설치된 구글 크롬 브라우저의 알려지지 않은 취약점을 적극적으로 이용하는 방식으로 한 단계 고급스럽게 해킹 기술이 발전한 것이다. 이와 더불어 빗썸과 같은 가상화폐 거래소가 코인 발행 재단에 메일을 보낸 것처럼 메일을 보내 가상화폐 재단의 PC를 해킹하는 사람의 심리를 이용한 사회 공학적 기법을 적극 활용했다. 이로 인해 몇몇 재단들은 재단 지갑이 해킹 당해 거래소로부터 거래 유의를 통보 받고 상장폐지까지 당하는 일이 발생하기도 했다. 엘립틱에 따르면 지금까지 북한 정권이 해킹으로 탈취한 암호자산의 누적가치는 60억 달러(약 8조6,000억원)를 넘어설 것으로 추정된다. 이는 북한 국내총생산(GDP)의 절반 규모다. UN은 2024년 북한의 GDP가 130억6,000만 달러(약 18조7,000억원)에 달할 것으로 추정하고 있다.