최승우기자
올해 전 세계 가상자산 시장에서 발생한 해킹 피해액의 절반 이상이 북한의 소행이라는 분석이 나왔다. 북한은 가상자산 해킹을 국가 차원의 전략 수단으로 활용하며, 공격 방식과 자금 세탁 구조를 빠르게 진화시키고 있는 것으로 나타났다.
연합뉴스는 블록체인 보안·분석업체 TRM랩스가 지난 18일 공개한 보고서를 인용, 북한이 수년간 무기 개발과 외화 확보를 목적으로 가상자산 해킹을 체계적으로 수행해왔다고 20일 보도했다.
앞서 미국에 본사를 둔 블록체인 분석 기업 체이널리시스도 18일 올해 세계 가상화폐 업계 전체 탈취 규모는 34억달러(약 5조1000억원)에 달한다고 분석한 바 있다. 이 중에서 북한 해커의 탈취액은 전체의 59%, 개인 지갑 침해를 제외한 서비스 침해 규모의 76%에 해당한다.
픽사베이
보고서는 특히 올해 들어 공격 대상이 소규모 탈중앙화금융(DeFi) 서비스에서 대형 중앙화거래소(CEX)로 옮겨가며, 한 번의 침투로 거액을 탈취하는 방식이 두드러졌다고 분석했다.
대표적인 사례가 지난 2월 발생한 글로벌 가상자산 거래소 바이비트(Bybit) 해킹이다. 이 사건에서 북한 해킹 조직 라자루스는 단일 공격으로 약 15억달러(약 2조2100억원)에 달하는 가상자산을 빼돌린 것으로 추정된다.
침투 수법도 한층 정교해졌다. 북한 해커들은 가짜 채용 제안이나 투자 기회를 미끼로 개발자와 IT 인력을 겨냥해 악성 파일을 전달하고, 개발 환경을 장악한 뒤 거래소의 자산 관리 시스템까지 접근하는 전략을 사용하고 있다. 이른바 '코드에서 자산까지(Code to Custody)'로 이어지는 공격 구조다.
탈취 자금의 처리 방식 역시 변화했다. 과거 믹싱 서비스 중심의 세탁 방식이 제재로 막히자, 북한은 '중국 세탁소'로 불리는 중국계 지하 금융망을 적극 활용하고 있다. 가상자산을 여러 블록체인으로 분산 이동한 뒤 중국어권 장외 중개인과 지하 은행 네트워크를 통해 현금화하며, 이 과정은 약 한 달 반 내에 마무리되는 것으로 분석됐다.
전직 미국 연방수사국(FBI) 요원인 TRM 랩스의 크리스 웡 조사관은 "북한의 해킹은 전략적 목표를 가진 작전으로 고도로 전문화했다"면서 실시간 정보 수집과 혁신적인 네트워크, 국경 간 협력이 없이는 이 같은 위협을 차단하기 어렵다고 강조했다.