올해 전 세계에서 일어난 가상자산(코인) 해킹 피해 금액이 27억달러(약 3조9900억원)에 다다랐다. 이 중 과반수가 북한 소행이라는 분석이 나왔다. 특히 북한은 한 번 공격으로 거액을 노릴 수 있는 중앙화 거래소를 집중 공략하고 있다. 북한이 탈취한 자금은 중국의 지하 금융망을 통해 대규모로 세탁됐다.
블록체인 리서치업체 'TRM랩스'는 지난 18일 보고서를 내고 북한이 수년간 무기 개발과 외화벌이 등을 위해 국가 차원에서 가상자산 해킹을 무기화해왔다고 밝혔다. 보고서에 따르면 북한의 공격 대상은 소규모 탈중앙화 금융(DeFi) 서비스에서 대형 중앙화 거래소(CEX)로 완전히 바뀌었다.
지난 2월 발생한 가상자산 거래소 바이비트(Bybit) 해킹 사고가 대표적이다. 북한은 이 한 건으로만 약 15억달러(약 2조2100억원)를 탈취했다.
공격 방식도 정교해졌다. 해킹을 시도하는 기업의 개발자 등에게 가짜 일자리나 투자를 제안하며 악성코드를 심은 파일을 보내 시스템에 침투하는 방식이다. TRM랩스는 이 같은 '코드에서 자산까지(Code to Custody)' 전략으로 개발자 환경이 거래소 자산에 접근하는 가장 효율적 경로가 됐다고 봤다.
탈취 자금 처리 방식도 진화했다. 과거에는 자금을 쪼개고 섞는 믹싱(Mixing) 서비스에 의존했다. 하지만 미국 제재로 가로막히자 '중국 세탁소(Chinese Laundromat)'라 불리는 지하 금융망을 이용하기 시작했다. 탈취한 가상자산을 쪼개 여러 블록체인 네트워크로 옮긴 뒤, 이를 중국계 지하 은행가와 장외 중개인(OTC), 송금책 등으로 구성된 돈세탁 네트워크에 넘겨 현금화하고 있다.
해킹 자금은 이와 같은 과정을 거쳐 북한 회사에 물품 대금 등 명목으로 들어오기도 한다. TRM랩스는 서방의 제재에도 북한의 큰 자금 세탁 규모가 유지되는 이유는 중국의 산업화한 자금 세탁 네트워크 덕분이라고 분석했다.
전직 미국 연방수사국(FBI) 요원인 TRM 랩스의 크리스 웡 조사관은 "북한의 해킹은 전략적 목표를 가진 고도로 전문화된 작전"이라며 "실시간 정보 수집과 혁신적인 네트워크, 국경 간 협력이 필요하다"라고 강조했다.
박수빈 한경닷컴 기자 waterbean@hankyung.com
관련뉴스
