암호화폐 탈취부터 제작까지…북한 ‘사이버 해적단’ 실체 추적

[일요신문] 비트코인 등 암호화폐(가상화폐)는 세계에서 가장 폐쇄적인 국가라 불리는 북한에서도 신성장 동력으로 꼽힌다. 북한은 정찰총국 산하 해킹 조직을 통해 다양한 방식으로 외화벌이에 나섰다. 또 스피어 피싱 수법을 활용한 암호화폐 탈취로 적지 않은 돈을 벌어들인 것으로 알려졌다. 여기에다 북한은 2018년 홍콩에서 직접 암호화폐 상장 프로젝트를 추진한 것으로 전해진다.

암호화폐 분석업체 체이널리시스(Chainalysis) 정책 및 규제 담당 총괄인 제시 스피로는 2020년 3월 한 화상회의를 통해 북한이 암호화폐를 어떻게 활용하고 있는지를 설명했다. 스피로는 “북한의 불법 암호화폐 자금이 무역을 통한 자금 세탁에 유용되고 있는 것으로 추정한다”면서 “북한 암호화폐 은닉 규모는 15억 달러(1조 6600억 원가량)로 지난해보다 증가했다”고 주장했다. 

비슷한 시기 미국 법무부는 중국인 두 명을 기소했다. 그들은 북한 국경을 넘다 적발됐는데, 혐의는 ‘1억 달러 규모 암호화폐 자금세탁’이었다. 북한 국경을 넘나들던 중국인들이 왜 암호화폐 자금세탁 혐의로 기소됐는지는 아직 밝혀지지 않았다. 이런 사례들에 대해 대북 한 소식통은 “북한이 암호화폐를 통해 대북제재를 회피하는 숨구멍을 트고 있을 것”이라고 했다.

이 소식통에 따르면 북한은 암호화폐 자금 세탁을 위해 ‘사이버 해킹 부대’를 활용하고 있다고 한다. 국제적으로도 잘 알려진 해킹 집단 ‘라자루스(Lazarus)’가 그 중심에 서 있다. 라자루스는 2014년엔 소니픽쳐스, 2016년엔 방글라데시 중앙은행에 사이버 공격을 감행해 악명이 높다. 라자루스는 북한 정찰총국이 운영하는 해킹 부대 중 하나로 알려져 있다.

미국 재무부가 발표한 공식 보고서 자료에도 라자루스는 ‘암호화폐’를 주제로 등장한 바 있다. 2020년 2월 미국 재무부는 ‘2020 테러리스트 및 기타 불법 자금 조달 대응 국가 전략’ 보고서를 발행했다. 이 보고서는 “라자루스를 비롯한 북한 해킹 조직 3개가 2017년과 2018년 사이 아시아 소재 5개 거래소에서 암호화폐 5억 7100만 달러를 탈취했다”고 명시했다.

북한 해킹 조직의 암호화폐 탈취 방식은 직접적인 해킹이 아닌 스피어피싱 방식이다. 열대지방 어민들의 ‘작살 낚시’에 비유한 해킹 기법이다. 사전 정보 수집을 바탕으로 이메일 수신자에게 ‘믿을 만한 송신자’를 가장해 메일을 보낸 뒤, 문서파일로 위장된 악성코드를 심어 정보를 빼내는 방식이다.

지난 4월 미국 법무부는 북한 정찰총국 소속 해커 3명을 기소했다. 앞서 언급한 스피어피싱 혐의다. 해커들의 실명도 거론됐다. 전창진, 김일, 박진혁이었다. 그 가운데 박진혁은 2018년부터 미국 FBI로부터 수배를 받기 시작한 해커이기도 하다.

북한은 자신들이 직접 주도하는 ICO(암호화폐공개)를 추진하기도 했다. 외국인을 대리인으로 내세우고 법률 자문이나 블록체인 프로젝트 컨설팅을 받다가 적발됐다. 북한이 추진했던 암호화폐는 '마린코인'이었다. 선박 소유권을 토큰화하고 선박을 통한 수익으로 소득을 창출하는 개념으로 기획된 암호화폐다. 선박 소유권을 주식처럼 사고파는 방식으로 만들기 위한 토큰인 셈이다.

마린체인 재단은 2018년 4월 출범했다. 마린체인 재단 CEO(최고경영자)는 싱가포르 국적 조나단 풍 카켕이었다. 각 분야별로는 최고의 기술자들을 영입해 그럴듯한 진용을 갖췄다. 외부적으로는 다른 블록체인 프로젝트와 크게 다를 것 없는 구조였다.

그러나 어느 시점부터 유엔 안전보장이사회(안보리)의 조사가 마린체인 재단을 압박했다. 토니 워커라는 이름으로 활동한 재단 실소유주 북한 국적 줄리안 김의 존재 때문이었다. 조사가 시작되자 줄리안 김은 잠적했고, 마린체인 프로젝트는 2018년 9월 막을 내렸다. 마린체인 재단 CEO 또한 줄리안 김의 정체를 모르고 있었던 것으로 전해진다. 줄리안 김의 정확한 소속과 정체는 여전히 알려진 바 없다.

마린체인 재단이 문을 닫은 뒤 얼마 지나지 않은 시점인 2018년 10월, 유엔 안보리 전문가 보고서는 북한이 마린체인 ICO를 추진했던 이면에 대해 이렇게 분석했다.  

“마린체인 프로젝트는 북한 지도부가 자금을 마련하는 수단이다. 이뿐 아니라 선박의 소유권을 모호하게 하면서 각종 물품 운송에 대한 제재 회피 수단으로 활용하려 했던 것으로 보인다.”

또 다른 대북 소식통은 “마린체인의 경우 실제로 ICO가 될 경우 토큰의 가치를 불린 뒤 자금을 북한 측으로 보내는 방식의 자금 조달 및 세탁 임무를 실행할 수 있다”면서 “여기다 선박 소유권을 사고파는 토큰을 북한 국적 선박의 제재 회피 수단으로 활용하려 했던 것으로 추정된다”고 했다.

소식통은 “북한이 자국 선박에 대한 소유권만 토큰을 받고 제3국 구매자에게 넘긴 뒤, 이 선박을 북한의 국제 제재 회피 목적으로 활용하려 했었을 것”이라고 주장했다. 

강철환 북한전략센터 대표는 “최근 북한 해커들이 중국 쪽으로 진출해 각종 암호화폐 채굴에 나서고 있다”면서 “이와 더불어 북·중 해커들이 합작해 암호화폐 지갑 해킹과 사기 등 암호화폐 관련 범죄가 기승을 부리는 중”이라고 했다. 강 대표는 “현재 북한 해커들의 암호화폐 관련 해킹 및 사기 범죄 표적은 중국인이 대다수”라고 했다.

강 대표는 “2020년 10월 10일 북한이 당 창건 75주년 기념 열병식 비용을 암호화폐 범죄를 통해 마련했다는 말도 들려온다”면서 “북한 지도부 금고인 노동당 39호실 잔고는 텅텅 비었다는데 화려한 행사의 규모는 전혀 줄지 않았다”고 했다. 강 대표는 “열병식을 추진할 돈이 어디서 나올 구석이 없다”면서 “북한이 육성한 해커들이 돈을 그만큼 벌어왔다는 것인데 그 수단이 무엇일지는 조금만 생각해보면 답이 나온다”고 했다.

북한 지도부는 시간이 흐를수록 ‘사이버 해적단’에 힘을 실어주고 있는 모양새다. 2020년 9월 조선노동당 중앙당 출신 인사를 정찰총국에 배치하는 ‘파격 인사’를 단행한 바 있다. 김선일 전 노동당 대외정보조사부 35호실 실장이 정찰총국 부총국장으로 임명됐다. 중앙당에서 파견된 핵심 인력이 북한 사이버 해적을 진두지휘하고 있는 셈이다.

북한은 2019년 4월 평양에서 블록체인·암호화폐 컨퍼런스를 개최하기도 했다. 당시 행사에는 이더리움 핵심 개발자 중 하나로 알려진 버질 그리피스가 참가한 것으로 화제가 되기도 했다. 그리피스는 북한을 다녀온 뒤 국제긴급경제권한법 위반 혐의로 기소됐다. 2020년에도 북한은 동일한 컨퍼런스를 개최할 예정이었다. 그러나 코로나19 팬데믹(Pandemic·대유행)으로 행사가 취소됐다. 

앞서의 대북 소식통은 “북한이 국제사회 제재로 돈줄이 끊긴 상태에서 유일하게 기댈 구석은 사이버 해킹을 바탕으로 한 자금 유입”이라면서 “특히 최근 세계 금융시장에서 뜨거운 감자로 부상하고 있는 암호화폐는 북한 입장에서 굉장한 먹잇감”이라고 했다. 소식통은 “탈중앙화 시스템에 아직 세계 각국의 규제안이 모호한 상황을 틈타 북한은 자신들의 이익을 최대화하려는 노력을 멈추지 않고 있다”고 전했다. 

이동섭 기자 hardout@ilyo.co.kr