"이더리움이 전부 사라졌다"…역사상 피해액 가장 큰 강도사건 배후는 北

"북한 해커들이 가상자산 산업의 가장 큰 위협으로 부상했으며 김정은 정권의 주요 수익원이 되고 있다."

영국 이코노미스트의 진단처럼 최근 몇 년간 북한 해킹 조직의 활동은 국제 안보에 심각한 위협이 되고 있다. 이들의 공격은 단순한 정보 탈취를 넘어 금융 시스템 마비, 국가 기반 시설 공격, 암호자산 거래소 해킹 등 다양한 형태로 진화하고 있다. 사이버 범죄로 탈취한 자금은 경제 제재와 봉쇄 조치로 인한 북한의 경제적 어려움을 극복하고, 미사일 및 핵무기를 개발하는 데 활용된다.

바이비트 이더리움 증발…배후엔 北, 역사상 피해액 가장 큰 강도사건

2월21일, 벤 저우 바이비트(ByBit) 최고경영자(CEO)는 여느 때와 다름없는 평범한 하루를 보냈다. 적어도 그 일이 터지기 전까지 말이다. 그는 잠자리에 들기 전 회사 계좌 간 자금 이체를 승인했다. 이는 전 세계 6000만명 이상의 사용자에게 서비스를 제공하는 동안 진행되는, 지극히 일상적인 절차였다. 30분 후 그는 바이비트 최고재무책임자(CFO)로부터 걸려 온 전화를 받았다. "벤 문제가 생겼어요." 그의 목소리는 떨리고 있었다. "해킹을 당한 것 같습니다. 이더리움이 전부 사라졌어요."

미국 연방수사국(FBI)은 즉시 조사에 착수했고 약 15억달러(2조1742억원)대 해킹 사건의 배후로 북한을 지목했다. 로이터, 가디언 등에 따르면 FBI는 북한 해킹 조직 라자루스를 사건의 배후로 봤고 '트레이더트레이터(TraderTraitor)' 수법을 사용했다고 밝혔다. 트레이더트레이터란 고소득 일자리 제안 등으로 위장해 악성코드가 숨겨진 가상자산 애플리케이션(앱) 등을 다운로드하도록 유도하는 해킹 수법이다.

영국 인디펜던트는 이번 바이비트 사태가 역사상 피해액이 가장 큰 '강도' 사건이라며 이는 북한의 한 해 국방예산(2023년 기준 14억7000만달러)과 맞먹는 액수라고 했다. 미국 포천은 "2003년 미국·이라크 전쟁을 앞두고 이라크의 독재자 사담 후세인이 자국 중앙은행에서 빼돌린 10억달러 기록을 넘어섰다"고 설명했다.

바이비트는 해당 사건 이후 현재까지 4000만달러를 추적해 거래를 동결했지만 일부 현금화를 막지 못했다. 영국 BBC방송은 "북한 해킹 조직 라자루스가 가상자산 거래소 바이비트에서 탈취한 이더리움 14억6000만달러 가운데 최소 3억달러가 현금화됐다"고 보도했다.

김정은, 사이버전 핵 버금갈 정도로 중요시…전 세계 가상자산 도난 금액 60% 북한 소행

"북한은 최고의 두뇌를 데려와 뭐든지 지시할 수 있다." 김승주 고려대 정보보호대학원 교수의 말이다. 1980년대부터 컴퓨터 과학교육을 시작한 북한은 걸프전쟁을 계기로 네트워크 기술의 군사적 중요성을 깨닫고 관련 인재를 국가 차원에서 적극적으로 키우기 시작했다. 수학적 재능이 뛰어난 학생들을 추려 특별학교로 보냈고, 이들은 연간 강제 노동을 면제받았다. 이렇게 단련된 이들의 해킹 능력과 가상자산 세탁기술은 최정상급으로 알려져 있다. 2019년 국제대학생프로그래밍대회(ICPC)에서 북한팀은 하버드, 옥스퍼드, 스탠퍼드를 제치고 8위를 차지하기도 했다. 제니 전 조지아 공대 조교수는 북한 해커들의 특징으로 대담함을 꼽으며 "대부분의 국가는 외교적 파장을 피하려고 조심스럽게 행동하지만 북한은 눈에 띄는 것을 두려워하지 않는다"고 분석했다.

북한은 2010년대 중반부터 첩보 사보타주(파괴)에서 사이버 범죄로 방향을 튼다. 북한이 얼마나 사이버전에 골몰했는가 하면 김정은 북한 국무위원장은 집권 초기 "사이버전이 핵, 미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검"이라고 언급하기도 했다.

북한 사이버범죄가 더 활개 치게 된 배경에는 코로나19 팬데믹(세계적 대유행)이 있다. 국제 경제 제재와 코로나19가 맞물리면서 북한의 전통적인 외화벌이 수단이 크게 위축됐다. 돈 벌 다른 수단을 강구해야 했다. 그때 북한이 떠올린 외화 조달 수단이 해킹이다. 2023년 유엔 전문가 패널(UNPE) 보고서에 따르면, 북한의 외화 수입 중 절반이 사이버 절도로부터 나온다. 북한의 사이버 절도 수익은 대중국 수출액의 3배를 넘어선다. 2022년 6800명이던 북한의 사이버 범죄 인력도 2023년 8400명으로 늘었다. 전직 FBI 분석가 닉 칼슨은 해킹이 북한 경제에서 차지하는 중요성에 대해 단 한 줄로 요약했다. "수백만 명의 노동자가 하던 일을 수십 명의 해커가 대신하고 있다."

배후가 북한이란 외부 지적에도 북한은 모르쇠로 일관하면서 가상자산 탈취 규모를 점차 키우고 있다. 블록체인 분석업체 체이널리시스(Chainalysis)에 따르면 북한 해커들은 2023년에만 6억6100만달러를 빼앗았으며 2024년엔 탈취금액이 13억4000만달러로 두 배 가까이 늘었다. 전 세계 가상자산 도난 금액의 60%에 달하는 액수다.

북한은 전 세계에서 미국, 영국에 이어 비트코인을 많이 보유한 나라이기도 하다. 세계 최대 가상자산 거래소인 바이낸스가 운영하는 바이낸스 뉴스와 가상자산 데이터 제공업체 아크햄인텔리전스에 따르면 북한의 해킹 조직 라자루스는 현재 11억4000만달러(약 1조6500억원)에 해당하는 1만3562비트코인(BTC)를 보유하고 있는 것으로 추산됐다. 미국이 보유한 19만8109BTC, 6만1245BTC를 보유한 영국에 이어 전 세계 3위에 해당하는 규모다.

이더리움 탈취 해킹조직, 韓 반도체·방산·제조업 겨냥

국제사회는 북한의 사이버 해킹을 심각한 위협으로 인식하고 있다. 이에 따라 여러 국가와 보안기관들이 머리를 맞대 대응책을 강화하고 있다. 미국은 북한 연계 가상자산 주소를 제재 목록에 추가하고 금융기관들과 협력해 자금세탁 방지 조치를 강화하고 있으며 한국과 일본 역시 가상자산 거래소와 손잡고 북한 연계 거래를 차단하는 시스템을 마련 중이다.

감시망이 강화되자 북한은 즉각 새로운 수법으로 전환하며 단속을 피하고 있다. 특히 규제가 느슨한 인도와 인도네시아 거래소가 북한의 새로운 타깃이 되고 있다고 한다. 외신을 종합하면 이들은 인공지능(AI)을 이용해 피싱 이메일을 여러 언어로 정교하게 제작한다. 이들은 또 AI를 활용해 피싱 이메일을 더 진짜처럼 보이게 만들어 대규모로 배포하며, 원격·재택 근무를 채택한 해외 기업에 취업한 뒤 해킹 조직과 결탁한다. 사우스차이나모닝포스트(SCMP)는 "북한 해커들은 10년 이상 가상자산 관련 사이버 범죄에 관여해 온 것으로 여겨지며, 가상자산에 대한 지식이 풍부한 인재 풀을 개발했다"며 "최근에는 생성형 AI를 사용해 공격을 강화하기 시작했다"고 최근 분위기를 전했다.

북한의 사이버 공격이 극심해지면서 한국도 안심할 수 없는 상황이다. 루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 지난 19일 "최근에는 북한과 연관된 것으로 알려진 APT 45, 라자루스 그룹이 한국 내 제조업, 자동차 산업, 방위산업체와 반도체 산업을 겨냥하고 있는 것으로 판단하고 있다"고 경고했다. 북한 해킹 조직이 국내 기업 내부시스템에 침투해 국가 기술 기밀을 취득한 뒤 이를 외부로 유출하겠다며 비트코인을 요구하는 등 협박할 여지가 있다는 것이다.

그는 또 구글 클라우드의 조사 결과를 토대로 최근 몇 년 동안 한국에서 가장 많은 사이버 공격의 타깃이 된 산업은 제조업, 금융 서비스, 그리고 미디어와 엔터테인먼트 부문이라고 분석했다.

김민영 기자 argus@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>