지난 2018년 6월 해킹 공격을 받은 한국 가상화폐거래소 빗썸. 유엔 보고서 등은 공격의 배후로 북한을 지목했다.
지난 2018년 6월 해킹 공격을 받은 한국 가상화폐거래소 빗썸. 유엔 보고서 등은 공격의 배후로 북한을 지목했다.

북한은 가상화폐 거래소와 국제 금융거래망, 현금자동입출금기(ATM) 시스템에 대한 해킹을 통해 불법 자금 창출을 지속하고 있는 것으로 알려졌습니다. 미국은 북한의 금융 사이버 해킹조직이 2015년부터 20억 달러 규모의 자금 편취를 시도했다고 밝히고 있습니다. 지다겸 기자가 전해 드립니다.

사이버 공간에서의 불법 활동을 통한 북한의 자금 탈취에 대해서는 미 국무부와 유엔 안보리 대북제재위원회 산하 전문가패널, 민간 전문가 등이 그동안 줄곧 경고를 발령해 왔습니다.

특히 전문가패널은 북한이 사이버 공간을 활용하는 이유에 대해 ‘위험은 낮고 이익은 크며,’ 탐지가 어려울 뿐 아니라 기술이 정교해 책임 규명도 어렵다고 밝히고 있습니다.

그러면서, 가상화폐 거래소와 은행금융망 해킹 등 불법 사이버 활동을 통한 북한의 수익이 최대 20억 달러에 이를 것으로 추산했습니다.

영국 합동군사연구소(RUSI)의 카일라 이젠만 연구원은 3일 VOA에, 북한 해커들은 러시아와 중국을 제외한 다른 제재 대상국들에 비해 ‘훨씬 발전된 사이버 범죄 행위자’라고 말했습니다.

[녹취: 이젠만 연구원] “I’d say they are really advanced cybercriminal actors in general more than any other sanctioned countries with the exception of maybe Russia and to some extent China. But they're using a different approach towards cryptocurrency and towards the financial system and sanctions evasion than any other sanctioned country.… I would assume North Korea is using cryptocurrency to further the state's goal.”

가상화폐 탈취로 15억 달러 수익 얻어…2억 5천만 달러 규모 해킹도

미국의 사이버 전문가들은 북한의 가상화폐 탈취와 기술의 정교성에 주목하면서, 북한 해커들이 가상화폐 탈취와 자금 세탁에 대규모 자원을 가동해 성공을 거뒀다고 평가했습니다.

북한 해커들은 가상화폐의 익명성뿐 아니라 신생 산업의 불완전한 규제를 악용하고, 믹서(mixer), 체인 호핑(chain hopping) 등의 수법을 이용해 가상화폐 자금 거래 경로를 파악하기 어렵게 만들고 있는 것으로 알려졌습니다.

미 연방법원에 따르면 북한 해커가 탈취한 것으로 추정되는 가상화폐는 다층적 방식을 통해 세탁되었다. [출처: 미 워싱턴 DC 연방법원 소장]

미국의 블록체인 거래 분석업체 체이널리시스(Chainalysis)의 제시 스피로 국장은 북한이 2015년부터 현재까지 5년간 적어도 미화 15억 달러의 가상화폐 자금을 탈취한 것으로 추정된다며, 다른 나라 행위자들의 탈취 규모보다 훨씬 더 크다고 말했습니다.

[녹취: 스피로 국장] “What we're comfortable saying, at present, is that North Koreans have stolen at least 1.5 billion U.S. dollars in cryptocurrency… So, it's far greater than other state actors in relation to that. North Korea, I think, has identified hacking the cryptocurrency exchanges as a low-risk, high-reward.”

대북제재위원회 산하 전문가패널은 올해 보고서에서 북한이 15억 달러 상당의 가상화폐를 탈취한 것으로 추산한 것으로 전해졌습니다.

또 미 재무부는 지난해 9월 ‘라자루스’, ‘블루노로프’, ‘안다리엘’ 등 3개 북한 해킹그룹이 2017년 1월부터 2018년 9월까지 아시아 지역 거래소 5곳을 공격해 암호화폐로만 5억 7천100만 달러를 탈취했을 가능성을 제기했습니다.

미 사법당국은 북한이 2018년부터 2년간 약 2억5천300만 달러의 가상화폐를 탈취한 것으로 보고 있습니다. 이 중 최대 규모는 2018년 한국의 가상화폐 거래소 해킹을 통해 탈취한 약 2억 5천만 달러인 것으로 지적됐습니다.

이밖에 미 연방검찰은 지난달 27일 몰수 소송장에서 북한 해커들이 지난해 7월과 9월 두 차례 각각 27만 3천 달러와 247만 달러 상당의 가상화폐를 탈취했다고 밝혔습니다.

금융망 해킹 통해 20억 달러 상당 자금 탈취 시도…은행에서 8천만 달러 훔치기도

사이버 안보전략 전문가인 리처드 하크넷 미 신시내티대학 교수는 사이버 공간이 북한 정권에 가상화폐 편취뿐 아니라 현금자동입출금기(ATM) 거래 조작, 은행금융망 공격 등 ‘금융 조작’을 통해 자금에 직접 접근할 수 있는 새로운 기회를 열어줬다고 말했습니다.

[녹취: 하크넷 교수] “Cyber has opened up a new opportunity for the North Korean regime to access financial assets directly through financial manipulation of ATM transaction, cryptocurrency, as well as actually hard cash attacks against the Bangladesh National Bank.”

미 CISA·재무부·FBI·사이버사령부가 지난달 공개한 북한 해킹그룹 '비글보이즈' 활동 재개 합동 경보.

미 국토안보부와 재무부, 연방수사국, 사이버사령부는 최근 발표한 금융범죄 합동경보에서, 북한 해킹단체 ‘비글보이즈(BeagleBoyz)’가 2015년 이후 금융망 해킹을 통해 적어도 20억 달러를 훔치려고 시도한 것으로 추정했습니다.

북한 정찰총국의 지휘 아래 2014년부터 활동한 비글보이즈는 특히 은행의 소매결제 시스템을 감염시킨 뒤 ATM에서 현금을 빼돌리는 수법인 ‘패스트 캐시(FASTCash)’ 작전의 실행자로 지목됐습니다.

또 비글보이즈의 상위 집단으로 지목된 ‘히든 코브라’는 2017년에 30여 개 나라 ATM에서 현금을 인출한 전례가 있고, 2018년에는 23개 나라 ATM에서 동시에 현금을 탈취하기도 했습니다.

미국은 2018년 10월 발령한 주의보에서 히든코브라가 패스트 캐시 작전을 통해 미화 수 천만 달러 상당을 탈취한 것으로 파악했습니다.

미국의 사이버 보안업체 ‘파이어아이(FireEye)’의 벤자민 리드 선임연구원은 북한 해커들이 약 8천만 달러 규모의 방글라데시 은행 해킹 사건이 발생한 2016년을 기점으로 자금 창출을 위한 새로운 사이버 공격 방법을 고안해 적용하고 있다고 말했습니다.

[녹취: 리드 연구원] “Since then they've continued to innovate and sort of adopt new ways of trying to get money. … Lots of different ways over the past few years have continued to branch out and add more tools to their arsenal.”

리드 연구원은 북한이 2016년 이후 다수의 해킹조직을 활용해 사이버 활동을 다각화하고 있다며, 북한의 사이버 공격 중 이윤 창출 목적의 공격이 차지하는 비중이 약 50%에 달한다고 설명했습니다.

사이버 전문가들은 신종 코로나바이러스가 북한의 사이버 활동에 영향을 주지 못했다며, 북한이 앞으로도 사이버 공간에서의 제재 회피를 이어갈 것으로 전망했습니다.

신시내티대학의 하크넷 교수는 대북 제재가 강화될수록 북한은 사이버 역량을 더욱 강화할 것이라며, 제재 효과를 약화시키는 북한의 사이버 역량을 파괴(disrupt)해야 한다고 말했습니다.

그러면서, 미 당국이 전 세계 네트워크를 상대로 한 북한 해커 수색, 금융 기관에 배치되기 전 악성코드 적발, 북한의 불법 금융 행위에 관한 경보 발령 등의 대응책을 실행하고 있다고 설명했습니다.

[녹취: 하크넷 교수] “The fact that U.S. Cyber Command was explicit last week about persistent engagement and its disruption of this ATM banking malware, I think, tells you that the U.S. has got a strategy in place to try and start to reduce the opportunity that exists out there. That is a very important moment in the cyber interactions between the United States and North Korea.”

하크넷 교수는 미 행정부가 최근 발령한 금융범죄 합동경보는 미국이 북한의 사이버 공간 내 불법 활동을 차단하기 위한 전략을 수립했음을 보여준다고 말했습니다.

VOA뉴스 지다겸입니다.