사우스이스턴루이지아나대 형사사법학, 전 미국 비밀 경호국 사이버·금융 범죄 태스크포스(TF) 요원, 전 키즈룹 데브옵스 엔지니어, 전 42dot 사이버 보안 엔지니어 사진 체이널리시스
“북한 해커들은 보통 높은 수익성을 지닌 타깃을 공격한다. 일단 취약점을 찾아내 공격이 가능하다고 판단하면 타깃의 위치는 문제가 되지 않는다. 또한 대부분의 타깃은 경제활동이 활발한 국가에 집중됐다.”
알렉 지브릭(Alec Zebrick·33) 체이널리시스(Chainalysis) 아시아·태평양지역 수사 총괄 매니저는 가상자산(암호화폐)을 노린 북한의 사이버 범죄 경향을 진단하며 이렇게 말했다. 체이널리시스는 지난 2014년 설립된 블록체인 데이터 플랫폼 업체다. 전 세계 70개국 이상의 정부 기관, 가상자산 거래소, 금융기관 등에 소프트웨어와 연구자료 등을 제공한다. 체이널리시스가 제공하는 서비스는 가상자산 관련 사이버 범죄에 대한 연구를 바탕으로 한다. 가상자산의 주소와 위법 행위 정황을 파악하는 데 도움을 주는 조사 소프트웨어를 개발하기도 했다.
지브릭 총괄은 미국 비밀경호국 사이버·금융 범죄 태스크포스(TF) 등에서 일하며 수사 실무력을 다졌다. 지난 2019년 처음 한국 땅을 밟은 그는 이듬해부터 국내 민간 기업에서 일하며 한국 땅에 정착했다. 현대자동차그룹의 포티투닷(42dot) 등에서 보안 관련 엔지니어로 일하며 프로그래밍 능력을 키우면서도 내심 수사기관에 속해 일했을 때의 보람과 짜릿함을 그리워하던 그였다. 그는 다시금 가슴이 뛰는 일을 찾기 시작했고 올해 6월, 그의 장기를 살릴 수 있는 체이널리시스에 합류했다. 지브릭 총괄은 현재 체이널리시스에서 북한이 저지르는 가상자산 범죄에 대한 전문가로 활동 중이다. 그는 “한국에 거주하고 있는 내게 한반도 보안은 중요한 문제다”라며 북한 가상자산 범죄에 관심을 두게 된 이유를 밝혔다. 지브릭 총괄은 “유엔(UN) 안전보장이사회는 북한의 해킹 수익이 대량 살상 무기 및 탄도미사일 개발 비용으로 들어간다고 보고한 바 있다”고 언급했다. 이어 “유엔은 사이버 범죄가 북한에 미치는 전략적 중요성을 강조한다”며 그만큼 철두철미하게 경계해야 한다고 당부했다. 최근 지브릭 총괄과 서면 인터뷰를 통해 북한 가상자산 범죄의 현주소에 대해 대화를 나눴다.
최근 몇 년 새 북한의 사이버 범죄 경향이 가상자산 탈취로 옮겨졌다.
“북한엔 소니 픽처스와 워너크라이 사이버 공격 사건으로 악명을 떨친 해커 조직, 라자루스 그룹이 있다. 이들은 2018년쯤부터 높은 이익을 거두는 가상자산 범죄에 힘을 쏟기 시작했다. 매년 평균 2억달러(약 2600억원) 이상의 가상자산이 탈취되고 세탁되며 불법 자금이 북한으로 흘러들어가고 있다. 이들은 여러 차례 해킹에 성공해 거액을 챙기고 있다. 지난 2021년엔 가상자산 거래소 쿠코인 등을 공격해 2억5000만달러(약 3300억원) 이상을 가로채기도 했다.”
앞서 언급한 라자루스 그룹의 경우, 체이널리시스 보고서에 따르면 이들이 지난해에만 16억5000만달러(약 2조1000억원)의 가상자산을 훔쳤다. 라자루스 그룹의 범행 방식과 주요 타깃이 궁금하다.
“라자루스 그룹은 자금을 훔치기 위해 피싱 미끼·코드 익스플로잇(결함 공격), 멀웨어(악성 코드), 고급 소셜 엔지니어링을 사용해 자신들이 관리하는 가상자산 지갑 주소로 자금을 빼돌린다. 자금 세탁을 위해 ‘믹서’를 사용해 입출금하는 가상자산을 혼합하고, 단일 거래에서 여러 종류의 가상자산을 교환하는 과정인 ‘체인 호핑’ 같은 난독화 기술도 사용한다. 북한 해커들은 특정 국가를 표적으로 삼지 않는다. 대신 산업을 표적으로 정한다. 금융기관, 투자회사, 가상자산 거래소 등 다양한 산업을 표적으로 삼고 있다.”
북한이 자금 세탁에 ‘믹서’를 사용한다고 했는데, 믹서란 어떤 수법인가.
“믹서는 많은 사용자가 예치한 자금을 모아서 무작위로 혼합해 다시 나누는 것을 말한다. 이는 가상자산 흐름을 추적하기 어렵게 만든다. 가상자산 규제 기관과 감시하는 인력에게 어려움을 안기는 난독화 수법이다. 체이널리시스 데이터에 따르면, 지난해 기준 불법 주소에서 전송된 자금 중 8%가 믹서를 거쳤다.”
북한 당국이 직접 해킹으로 가상자산을 탈취한다고 공표하지는 않는다. 가상자산 해킹 범죄가 발생하고 그것이 북한 측의 소행이라고 파악하는 추적 기법이 궁금하다.
“해킹이 북한의 소행인지 판단할 때 일반적으로 세 가지 요소를 고려한다. 첫 번째, 공격 벡터. 북한은 종종 인프라를 재사용해 공격을 시작한다. 체이널리시스는 북한 해커 조직이 가진 인프라에 대한 데이터를 보유하고 있어 해당 패턴을 파악할 수 있다. 두 번째, 자금 세탁 패턴이다. 구체적인 증거는 아니지만 북한은 동일한 시간대에 동일한 서비스를 동일한 순서로 사용하는 자금 세탁 패턴을 가지고 있다. 세 번째는 통합 주소다. 체이널리시스는 북한이 관리하는 지갑에 대한 데이터를 보유하고 있다. 북한은 여러 해킹을 통해 훔친 자금을 한 지갑 주소로 보낸다. 새로 도난당한 자금이 과거 북한에 의해 탈취된 것이 확실한 다른 자금과 통합되면, 이 해킹 범죄가 북한의 소행이라는 증거를 하나 더 확보하는 셈이다.”
북한이 러시아 등을 통해 가상자산 자금을 세탁하고 있다. 자금 세탁 이후엔 범죄 자금 환수가 어려운지 궁금하다.
“기존 자금 세탁과 달리 가상자산 자금 세탁은 블록체인의 투명성으로 인해 쉽게 추적이 가능하다. 특히 소액으로 나눠 송금하는 거래가 반복적으로 이어진다면 이는 범죄자가 거래소의 감시를 따돌리기 위해 사용하는 스트럭처링(Structuring) 수법일 확률이 높다. 최근 한국 국가정보원과 미국의 민간 기업 조사단이 힘을 합쳐 블록체인 기업 하모니에서 탈취된 가상자산 중 100만달러(약 13억원)를 추적하고 압수한 사례도 있었다. 불법 자금을 되도록 빨리 압류하기 위해서는 ‘가상자산 사고 대응 서비스’를 마련하는 것이 중요하다. 사고가 발생하기 전에 가상자산 사고 대응 서비스를 이용할 것을 권장한다. 위기가 발생했을 때보다 위기가 발생하기 전에 시간을 투자하는 게 더 효과적이다.”
북한의 가상자산 탈취를 막기 위해 기업이 갖추어야 할 대비책은.
“북한 해커들의 공격 방식을 고려했을 때, 기업은 공격에 대한 방어를 강화해 해커가 가상자산에 접근하지 못하게 준비해야 한다. 강력한 보안 도구에 투자하고, 직원을 대상으로 의심스러운 커뮤니케이션을 식별할 수 있도록 교육해야 한다. 특히 북한 해커들이 정교한 피싱 공격을 활용해 타깃의 시스템에 대한 접근성을 높일 수 있다는 점에서 일반적인 보안 관행이 핵심이다. 조직 내 모든 직원이 경계를 늦추지 않고 사이버 방어의 기술적 측면을 강화하는 것은 매우 중요하다.”
북한의 가상자산 범죄를 막기 위해 국제사회의 어떠한 노력이 필요한가.
“지금보다 더 많은 각국 정부가 북한의 범죄 활동을 조사하고, 북한 해커가 불법 자금을 현금화하는 것을 방지해야 한다. 또한 훔친 자금을 최대한 많이 회수할 수 있는 도구를 갖춰야 한다. 또 다른 중요한 점은 가상자산에 대한 국제자금세탁방지기구(FATF) 지침을 이행하는 것이다. 훔친 자금을 세탁하고 현금화하는 것을 더욱 어렵게 만드는 데 초점을 맞춰야 하며, 가상자산 사업자들도 강력한 자금 세탁 방지(AML), 테러 자금 조달 방지(CFT) 및 확산 금융 방지(CPF) 준칙을 세워야 한다.”