"북한, 지난 10년간 세계 10대 금융 해킹에 절반 이상 관여"

지난 2018년 9월 미국 법무부 트레이시 윌키슨 검사가 로스앤젤레스에서 기자회견을 열고 북한 국적자 박진혁을 과거 소니 영화사 등에 대한 사이버 공격 혐의로 기소한 사실을 공개했다.

북한이 지난 10년간 벌어진 세계 10대 금융 해킹 공격의 절반 이상에 관여했다는 영국 민간단체의 분석이 나왔습니다. 전문가들은 북한은 거의 유일하게 국가 단위로 금융 해킹 공격을 지원하는 나라로, 금융기관과 가상화폐 거래소 등에 대한 공격을 이어가고 있다고 설명했습니다. 오택성 기자입니다.

영국에 기반을 둔 가상화폐 관련 단체 '트레이더스 오브 크립토'가 최근 지난 2011년부터 2020년까지 10년 동안 발생한 금융 해킹 공격 사례를 분석해 공개했습니다.

가상화폐 투자에 관심이 있는 사람들에게 가상화폐 거래소를 분석해주는 이 단체는 지난 10년 동안 전 세계에서 벌어진 금융 해킹 사건 중 성공 사례 뿐 아니라 실패로 끝난 시도까지 모두 포함한 총 80건에 대해 금액을 기준으로 순위를 매겼습니다.

그러면서 상위 10대 사건 가운데 북한이 관여된 것이 5건으로 나타났다고 밝혔습니다.

이번 발표에서 1위에 오른 해킹 사례는 2018년 1월 일본 가상화폐 거래소 '코인체크'를 상대로 벌어진 공격으로, 역사상 가장 큰 해킹 금액으로 기록된 사건입니다.

당시 5억 3천400만 달러 상당의 가상화폐 넴(NEM)이 절취된 이 사건은 북한이 연루된 단체의 소행이라고, 트레이더스 오브 크립토는 지적했습니다.

이는 유엔 안보리 대북제재위원회 전문가패널이 밝힌 내용과 일치하는 부분입니다.

앞서 전문가패널은 2019년 3월 공개한 보고서에서 해당 공격이 북한 해킹 그룹 라자루스와 연관이 있다고 밝힌 싱가포르 사이버 보안전문 기관의 분석을 소개했습니다.

영국에 기반을 둔 가상화폐 관련 단체 '트레이더스 오브 크립토'가 최근 지난 2011년부터 2020년까지 10년 동안 발생한 금융 해킹 공격 사례를 분석해 공개했다.

북한이 연루된 것으로 지적된 다음 사례는 3번째로 많은 금액을 기록한 공격으로, 말레이시아 중앙은행에 대한 3억 9천만 달러 상당의 해킹 공격입니다.

이어 5위와 7위, 8위에 오른 해킹 사건 역시 북한과 관련이 있는 것으로 지적됐습니다.

5위는 2016년 7월 인도 '유니언 뱅크'를 대상으로 1억 7천만 달러를 절취하려고 시도한 공격입니다.

또 7위는 2018년 1월 멕시코수출입은행 시스템에 접속해 1억 1천만 달러를 빼내려고 시도한 해킹 공격이고, 8위는 지난 2016년 7월 나이지리아 은행을 상대로 1억 달러를 훔치려고 시도한 공격입니다.

유엔 안보리 전문가 패널은 지난 2019년 8월 보고서를 통해 이 3건의 해킹 공격에 북한이 연루된 것으로 보고 조사를 진행하고 있다고 설명한 바 있습니다.

미 당국 역시 멕시코수출입은행에 대한 북한의 해킹 공격을 확인했습니다.

지난 2월 미 법무부는 북한 정찰총국 소속 해커 3명을 기소하며 공개한 기소장에서, 북한 해커들이 멕시코수출입은행 내부 시스템에 접속해 1억 1천만 달러를 빼내는데 성공했지만 은행 측에서 중간이 이를 알아채 실제 해커들이 사용하는 계좌에 송금되지는 않았다고 밝혔습니다.

트레이더스 오브 크립토는 10위에 오른 해킹 사건, 즉 2016년 방글라데시 은행을 해킹해 8천 100만 달러를 훔친 공격과 관련해선 누구의 소행인지 알려지지 않았다고 밝혔습니다.

이와 관련해 앞서 미 법무부는 해당 공격이 북한의 소행이라고 명시했습니다.

따라서 트레이더스 오브 크립토가 밝힌 5건의 공격 사례에 미 법무부가 확인한 1건까지 합치면 상위 10개의 금융 해킹 공격 가운데 6건이 북한과 관련이 있는 셈입니다.

다만 트레이더스 오브 크립토는 북한이 연루된 5건의 공격 가운데 코인체크 공격만 성공했을 뿐 말레이시아 중앙은행과 멕시코수출입은행에 대한 공격을 실패했으며 인도 유니온 은행과 나이지리아 은행에 대한 공격과 관련해서 탈취된 자금을 회수했다고 설명했습니다.

제이슨 바틀렛 신미국안보센터 연구원은 7일 VOA와의 통화에서 10대 금융 해킹에 북한이 상당 부분 관여한 것으로 나타난 이유는 북한이 정권 차원에서 그같은 공격을 벌이기 때문이라고 분석했습니다.

[녹취: 바틀렛 연구원] "It's even more unique about that is in comparison to China and Russia which tend to leverage their cyber capabilities from our political goals and more political objectives. North Korea tends to target financial institutions and cryptocurrency exchanges and ways to extract funds.."

북한 사이버 해킹의 특징은 특히 중국과 러시아와 비교할 때 더 두드러지는데, 중국과 러시아의 해킹 공격이 정치적 목적에 더 중점을 둔 반면 북한은 자금 확보에 목표를 두고 있다는 겁니다.

바틀렛 연구원은 북한 해킹 그룹은 이런 목적으로 금융 기관이나 가상화폐 거래소 등을 공격 대상으로 삼는 경향이 있다며, 이것이 이번 결과를 설명해 줄 수 있다고 말했습니다.

매튜 하 민주주의수호재단 연구원 역시 북한은 정권 차원에서 금융 해킹을 지원하는 유일한 나라라고 지적했습니다.

이어 6건의 금융 해킹 공격에 가상화폐거래소 뿐 아니라 기존 금융기관에 대한 해킹 공격이 모두 포함된 것과 관련해서는 북한이 자금을 훔치기 위해 다양한 전술을 사용하고 있음을 보여주는 것이라고 설명했습니다.

[녹취: 매튜 하 연구원] "Number one, as I just mentioned is the SWIFT. And then also the other big way through ATM cash outs where they manipulate a server and they often have to rely on in-person money launderers and organized criminal groups to be able to cash out at ATM machines. Besides banks, you have cryptocurrency exchanges, business email compromise schemes by targeting companies. There's various ways the North Korea to monetizing"

방글라데시 은행 해킹처럼 글로벌 은행 결제 네트워크인 SWIFT에 침투한 해킹과 서버 조작 혹은 범죄집단을 통한 ATM기 인출 등 은행에 대한 공격 뿐 아니라 가상화폐 거래소 해킹, 기업 이메일 침해(BEC)등 북한이 자금 강탈을 위해 사용하는 수법이 다양하다는 겁니다.

하 연구원은 이어 다른 금융 해킹이 익명인 경우와 달리 북한이 해킹 공격의 배후로 특정되고 있는 이유에 대해서도 설명했습니다.

공격의 배후를 확인하기 위해선 피해자가 누구인지, 또 공격 수단은 무엇이고 해커들이 사용한 멜웨어의 구조는 무엇인지 등을 확인해야 하는데, 북한 해킹 그룹의 경우 그들이 사용한 멀웨어가 반복적으로 확인된다는 겁니다.

[녹취: 매튜 하 연구원] "It's very key based on like 'Oh look at the malware structure. We've seen this before in 2009, with this attack with 2013, with this attack that we're all coming back from Pyoungyang or North Korea."

보안전문업체 시만텍의 비크람 타쿠르 기술국장도 최근 라자루스를 다룬 한 웨비나에 참석해 해킹 공격 배후를 확인하는 핵심은 바로 사용된 멀웨어에 대한 분석이라고 강조했습니다.

타쿠르 국장은 대표적으로 방글라데시 은행 해킹에서 사용된 멀웨어가 북한 라자루스 그룹의 멀웨어라며 이 부분은 결코 사소한 것이 아니라고 설명했습니다.

[녹취: 타쿠르 국장] "One is the files and the technicalities of the malware that is used in these attacks themselves. It's really all about the malware. The most popular of which was the Bangladesh bank heist which happened a few years ago."

실제 많은 전문가들은 방글라데시에서 발견된 수법과 멀웨어 등을 근거로 이와 유사한 해킹 사건이 북한의 소행일 것이라고 추정하고 있습니다.

바틀렛 연구원은 해킹 공격의 배후로 북한이 특정되는 또 다른 이유는 해킹 이후 나타나는 돈세탁 방식이라고 지적했습니다.

[녹취: 바틀렛 연구원] "One of the key indicators is how this money is laundered. North Korean hackers especially the Lazarus group has a very particular and unique way and how it sends money to what we call 'mixer', which 'mixer' help mix up cryptocurrency into different accounts."

해킹으로 자금을 빼낸 뒤에 이를 세탁할 때 라자루그 그룹이 사용하는 ‘믹서’라는 매우 독특한 방식이 있다는 겁니다. '믹서'는 가상화폐를 모두 섞어 각각 다른 계좌로 보내 추적을 어렵게 만드는 방식입니다.

바틀렛 연구원은 미국 당국이나 민간 부문에서는 바로 이런 방식을 통해 북한의 해킹 활동임을 추정할 수 있다고 말했습니다.

VOA뉴스 오택성입니다.