넓은 아파트 받고 군면제 특혜 누린다…북한 코인부자 만든 '라자루스' 실체

비트코인 수조원어치 훔친 라자루스
북한에서 양성하는 최정예 해커집단
해킹에 사활 건 北, 11세부터 양성

북한의 비트코인 보유량이 세계 3위로 올라간 배경엔 미지의 해커 그룹 라자루스가 있다. 미 법무부가 ‘북한 군사 조직의 일원과 연계된 해커 그룹’이라고 규정한 라자루스는 2010년대 중반부터 세계를 무대로 거액의 현금, 혹은 암호화폐 관련 해킹 범죄를 일으켰다. 정확한 정체는 베일에 싸여 있으나 북한의 엘리트 해커들이 소속된 세계 최고 수준의 사이버 범죄 조직으로 추정된다.

코인 거래소부터 은행까지 침투한 해커 집단

북한 해커 박진혁에 대한 미국 연방수사국(FBI)의 2018년 당시 수배전단. FBI

라자루스라는 그룹 명칭은 2014년 글로벌 보안기업 연합의 사이버 위협 보고서에서 처음 등장했다. 이들은 소니픽처스 해킹 사건을 조사하던 중 북한과 연계된 해커 집단 ‘그룹 A’를 포착했고, 이들에게 라자루스라는 이름을 붙였다.

이후 라자루스는 전 세계를 무대 삼아 온갖 금융 범죄를 저지르며 두각을 드러냈다. 이들이 살포한 악명 높은 랜섬웨어 ‘워너크라이’는 병원 등 공공시설 네트워크에 침투해 시스템을 잠근 뒤 암호화폐로 대가를 요구한다. 이런 방식으로 라자루스가 2017년부터 2023년까지 긁어모은 비트코인은 약 30억달러(약 4조4000억원)로 추정된다.

지난달엔 암호화폐 거래소 바이비트에서 해킹 범죄를 저질렀으며, 사상 최대의 단일 피해 금액인 15억달러(약 2조2000억원)어치를 빼돌렸다. 바이비트 사건 이후 북한의 BTC 보유량은 세계 3위로 도약했다. 코인 거래소 바이낸스는 현재 북한의 비트코인 보유량이 1만3562 BTC(약 1조7000억원)라고 추정한다. BTC를 법정 통화로 도입한 엘살바도르 보다 많이 보유하고 있다.

라자루스는 삼엄한 보안 체계를 갖춘 글로벌 결제 시스템에도 침투하는 능력을 갖췄다. 라자루스는 2016년 방글라데시 국영은행 직원에 악성코드를 심은 위장 이메일을 보내 시스템에 침투했고, 감시 체계가 가장 취약해질 때까지 약 1년을 기다렸다가 단숨에 10억달러(약 1조4700억원)를 빼돌렸다. 불행 중 다행으로 8100만달러(약 1190억원)가 송금됐을 때 시스템이 차단돼 더 큰 피해는 막을 수 있었다.

시스템 이해는 물론 사회 공학 해킹도 능수능란

픽사베이

익명 거래의 특성상 다양한 돈세탁 창구가 있는 암호화폐와 달리 은행 간 송금은 감시망을 회피하기 힘들다. 송금이 발생할 때마다 국제은행간통신협회(SWIFT)를 통해 보안 메시지가 뜨기 때문이다. 사건 당시 라자루스는 스위프트를 건들지 않고, 대신 은행 직원에게 가짜 지시를 전달해 10억달러를 빼내려 했다. 또 은행 전산 시스템에 혼동을 주기 위해 스위프트 코드가 기록되는 팩스 머신을 원격으로 끄기도 했다.

해킹은 단순히 네트워크에 침투해 마비시키는 기술적 방법론만 있는 게 아니다. 실제 시스템을 운전하는 이들을 속이거나 회유해 취약점을 만들어내는 ‘사회 공학’ 해킹도 존재한다. 라자루스의 특징은 보안 시스템에 대한 폭넓은 이해를 기반으로 용의주도한 사회 공학적 해킹을 시도한다는 점이다.

영국 보안 컨설팅 기업 NCC그룹은 2022년 라자루스의 10년간 행보를 정리한 보고서를 내면서 라자루스에 대해 “고도로 숙련된 운영 능력을 갖춘 최고 엘리트, 실제 업무를 처리하는 하위 운영자, 그리고 가끔 업무를 대행하는 다른 해커들이 섞인 팀”이라고 정의하며 “러시아 등에도 최고 수준의 해커 팀이 있지만, 라자루스는 체포를 두려워하지 않는다는 점에서 구별된다”고 강조했다.

11세부터 사이버 전사 양성하는 北

라자루스에 15억달러의 해킹 피해를 본 바이비트 사이트. 연합뉴스

북한은 어떻게 보안 업계에서 ‘세계 최고 수준’으로 평가받는 해커 팀을 만들었을까. 미 연방수사국(FBI)에 수배된 북한 해커 ‘박진혁’에 실마리가 있다. 박진혁은 신원이 드러난 최초의 라자루스 소속 해커로, 구글 지메일로 정보를 교환하다가 FBI에 덜미를 잡혔었다. FBI에 따르면 박진혁은 라자루스의 해킹 작전 기획자 중 한 명이며, 1981~1984년 사이에 태어난 것으로 추정된다. 또 그는 김책공업종학대에서 컴퓨터과학을 전공한 수재이기도 하다.

북한은 일찍이 정보통신(IT) 인재 육성에 나섰다. 기술 인재 육성의 쌍두마차인 김일성종합대와 김책공업종학대는 1999년에 컴퓨터과학과를 설립, 프로그래밍 인재를 집중 양성했다.

두 대학은 네트워크와 해킹 분야에서 선진국 못지 않은 실력을 갖춘 것으로 추정된다. 일례로 2023년 미국 IT 기업 ‘해커어스(HackerEarth)’는 전 세계 학생 1700명이 참여한 온라인 해킹 대회를 열었는데, 1~5위는 전부 김책공업종학대와 김일성종합대 학생들이 휩쓸었다. NCC는 “북한은 만 11세부터 해커를 선발하고 이들은 넓은 아파트나 군 복무 면제 같은 특권을 누린다”며 “정예 해커들은 국가를 섬기기 전에 중국 등에서 컴퓨터와 인터넷을 접하며 어떻게 싸울지 배운다”고 설명했다.

북한의 열악한 경제 상황 때문에 라자루스 같은 북한 해커 그룹은 앞으로도 기승을 부릴 가능성이 높다. NCC는 “북한에서 해킹은 정부 재정을 확보하기 위한 산업”이라며 “북한 해커들은 김정은 정권의 이익을 위해 격려받고 있다”고 밝혔다.

임주형 기자 skepped@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>