‘김정은 별동대’ 2년간 2조원 E-소매치기…북한 해커들은 어떻게 암약했나

[일요신문] 북한 최대 자금줄은 암호화폐(가상화폐) 시장이다. 암호화폐 시장은 북한 해커들의 최대 먹잇감으로 부상한 상태다. 기상천외한 방법으로 빼돌린 암호화폐는 현금화 과정을 거쳐 북한 핵심 자금줄 역할을 하는 것으로 알려졌다. 오랜 기간 대북제재로 자금줄이 막힌 북한 입장에선 마지막 남은 보루인 셈이다. 보루에서 보물을 빼오는 역할은 고도로 훈련된 해커들 몫이다.

북한발 사이버공격 수위가 점점 높아지고 있다. 북한 해커들의 사이버공격 목표 지점은 암호화폐 탈취로 수렴하고 있는 것으로 전해진다. 2022~2023년 2년 동안 북한 해커들이 온라인상에서 탈취한 암호화폐는 천문학적 규모를 자랑한다.

8월 27일(현지시각) 한국 외교부와 미국 국무부가 ‘북한 불법 사이버 활동으로부터 가상자산 산업 보호 및 자금 조달 차단’을 주제로 심포지엄을 공동 개최했다. 3회째를 맞는 심포지엄이다. 이날 행사엔 세스 베일리 미 국무부 대북특별부대표가 참석했다.

베일리 부대표는 블록체인 리서치업체가 작성한 보고서를 인용해 북한 해커들의 암호화폐 탈취 심각성을 강조했다. ‘TRM랩스’ 보고서에 따르면 2023년 전 세계 암호화폐 탈취금액 중 3분의 1이 북한 해커 소행으로 추정된다. 2023년 북한 해커들이 탈취한 암호화폐는 7억 달러(약 9324억 원) 규모다.

시기를 2022년부터 2023년까지 2년 단위로 넓히면, 북한은 15억 달러(약 2조 원)에 달하는 암호화폐를 온라인상에서 탈취했다. 베일리 부대표는 “2024년 (북한발) 암호화폐 탈취액 규모는 10억 달러(약 1조 3300억 원) 이상일 것”이라고 전망했다.

이준일 외교부 한반도 정책국장은 “북한이 탈취 자금 상당부분을 핵, 미사일 개발에 사용하고 있다”면서 “긴밀한 협력이 그 어느 때보다 중요하다”고 말했다.

2000년대는 북한 해커들 활동 초창기다. 이 당시 북한 해커들은 정보 탈취를 주목적으로 공공기관 등에 대한 서버를 공격하는 경우가 많았다. 그러나 2020년대에 접어들면서 북한 해커들은 정보보다 가상자산 탈취에 사실상 ‘올인’ 하고 있는 형국이다.

북한 정찰총국이 관할하는 해커 조직 ‘김수키’는 2022년부터 ‘푼돈 사냥’에 나섰다. 2014년 한국수력원자력 원전 도면 유출 및 가동중지 협박 사건으로 국내에서 이름을 알린 조직이다. 2021년까지만 해도 공공기관, 기업, 병원 등 해킹을 시도해 왔던 김수키는 2022년을 기점으로 해킹 콘셉트를 전환했다.

랜섬웨어를 서버에 심어 놓은 뒤 서버를 장악하면, 서버 정상화를 미끼로 비트코인 등 암호화폐를 요구하는 수법이 포착됐다. 복수 대북 소식통은 북한이 정보 탈취에 있던 해킹 무게추를 암호화폐로 옮긴 점을 유의미한 포인트로 지적했다.

한 소식통은 “북한이 오랜 대북제재로 자금줄이 마르면서, 거시적인 정보 탈취 작전보다 한 건 한 건 푼돈을 탈취하는 방식으로 스탠스를 바꿨다”면서 “북한 내부 최고급 컴퓨터공학 인재들을 가상자산 소매치기 범죄에 활용하고 있다”고 말했다.

북한 해커들은 사실상 ‘관제 해커 조직’으로 알려져 있다. 대북 소식통 등에 따르면 김정은 북한 국무위원장은 김수키, 라자루스, 금성121 등 주요 해커 조직을 자신의 별동대로 여기고 있다는 후문이다. 앞서의 소식통은 “북한 주민들은 해커들의 존재를 전혀 모른다”면서도 “북한 당국에선 해커 조직을 최고사령관 작전예비대로 부를 정도로 높은 위상을 자랑한다”고 했다.

관제 해커 조직은 음지에서 북한 외화벌이 사업 총력전에 투입되고 있다. 굵직한 해킹 프로젝트를 진행하던 이들이 민간인들을 대상으로도 푼돈 탈취 프로세스를 가동 중이다. 수법도 점점 다양해지고 있다. 스미싱이나 이메일 피싱 등 전통적인 수법을 비롯해 가짜 도메인을 활용하는 수법이 암호화폐 해킹에 주로 쓰인다. 개인 투자자들 전자지갑을 사정권에 두는 동시다발적 ‘E-소매치기’다.  

최근엔 세계적인 IT기업이 운영하는 브라우저 취약점을 타격해 암호화폐를 빼돌리는 수법이 등장해 업계의 비상한 관심을 모았다. 8월 30일 마이크로소프트가 발표한 보고서에 따르면 북한 해커 조직이 구글사가 운영하는 브라우저 ‘크롬’의 보안상 취약점을 노려 암호화폐 절도에 필요한 개인정보를 빼돌렸다. 가짜 사이트를 정상적인 암호화폐 거래 플랫폼인 것처럼 가장했다. 피해자들은 악성코드가 포함된 앱을 다운받으며 해킹 범죄에 노출됐다.

크롬 브라우저 취약점을 공격해 빼돌린 암호화폐 규모는 아직 밝혀지지 않았다. 이 범죄 중심엔 ‘시트린 슬리트’라는 해커 조직이 있는 것으로 알려졌다. 시트린 슬리트는 북한 정찰총국 121국이 관할하는 조직인 것으로 추정되고 있다.

또 다른 북한 해킹조직 라자루스의 경우엔 해외 거래소를 해킹해 암호화폐를 갈취하는 수법으로 악명을 떨치고 있다. 북한 해커 조직들이 개인 투자자와 탈중앙화 거래소(DEX)에 이어 중앙화 거래소(CEX)까지 범죄 영역을 넓혀가는 가운데, 국내에선 가상자산 거래소에 제1금융권 수준 보안 시스템이 필요하다는 목소리도 나온다.

한 블록체인 업계 관계자는 “세계 각국마다 블록체인 및 암호화폐 산업에 대한 법제도를 준비 중인데, 표준화된 법제도가 아직 없다”면서 “그럼에도 암호화폐는 ‘금융 국경’을 허물고 전세계적으로 거래되고 있다”고 했다. 이어지는 말이다. 

“암호화폐는 세계 어디서든 거래할 수 있는 혁신적 특성을 가지고 있지만, 아직 제도적으로 취약하다. 여기다 한번 탈취당한 암호화폐는 다시 되찾는 것이 사실상 불가능하기 때문에 북한 입장에선 비공식적인 채널로 자금을 마련하기에 가장 최적화된 시장일 것이다. 북한 말고도 전 세계 해커들이 호시탐탐 자산을 노리고 있기 때문에 사이버 보안 유지에 개개인이 힘쓰는 것이 중요하다.”

전직 정보 당국자는 “북한 입장에서는 대북제재가 장기화하는 과정에서 암호화폐 해킹으로 모든 해킹 역량이 집중될 수밖에 없다”면서 “개인 투자자 및 거래소에 존재하는 암호화폐를 탈취하는 순간 그 자산들은 그 자체로 세탁부터 건조까지 다 완료된 상태라고 보면 된다”고 했다.

이 당국자는 “국제사회가 공조해 북한 해커들의 범죄를 막을 수 있는 해결책을 논의할 필요가 있다”면서 “북한이 암호화폐를 탈취한 자금을 국제 평화를 위협하는 핵무기 개발에 활용하는 까닭”이라고 덧붙였다.

북한은 2017년 국내 가상자산거래소에 대한 대대적인 해킹 공격을 감행한 바 있다. 2018년엔 북한 당국이 직접 해외 법인을 통해 ‘마린 체인’이라는 암호화폐를 제작해 유통하려 시도한 이력도 있다.

거래소 해킹과 암호화폐 제작 및 유통에 직접 뛰어들던 북한 해커 조직들은 ‘푼돈의 맛’을 본 뒤 모든 역량을 E-소매치기에 집중하고 있는 것으로 전해진다. 북한 해커들이 암호화폐 해킹에 사활을 건 뒤부터 암호화폐 해킹 피해액 규모는 점점 늘어나고 있다.

전직 정보기관 관계자는 “북한이 대북제재 초반엔 오프라인 자금줄 확보 시도를 했다”면서 “위조지폐 제작, 마약 유통 등 범죄사업을 통해 외화를 버는 방식을 활용했는데, 이런 방식들은 지속 가능성이 떨어졌다”고 했다.

이 관계자는 “북한이 정찰총국 산하 해커 집단을 통해 암호화폐를 털기 시작하면서 ‘이건 오래 써먹을 수 있다’는 자신감이 생겼을 수 있다”면서 “지속가능한 외화벌이 모델로 암호화폐 탈취가 자리를 잡은 상황이기 때문에 앞으로 해킹 수법이 더욱 다양화될 가능성도 배제할 수 없다”고 했다. 

이동섭 기자 hardout@ilyo.co.kr