[앵커] 최근 북한 해커 조직이 역대 최대 규모인 15억 달러 상당의 암호화폐 이더리움 중 상당 액수를 비트코인으로 변환하는 데 성공했지만, 아직 현금화하지는 못한 상태로 알려졌는데요. 박재우 기자가 사이버보안 전문가와의 인터뷰를 통해 자세히 알아봤습니다.
미국 연방수사국(FBI)에 따르면 북한 해킹 조직은 지난달 21일 세계 3위의 가상화폐 거래소 바이비트(Bybit)를 공격해 15억 달러 상당의 이더리움(ETH)을 탈취하며, 암호화폐 업계 역사상 가장 큰 규모의 해킹 사건을 일으켰습니다.
자유아시아방송(RFA)은 11일, 미 연방 검사 출신으로 북한의 자금 세탁 및 암호화폐 탈취 관련 업무를 담당했던 아리 레드보드(Ari Redbord) TRM 연구소 정책 소장과 인터뷰를 진행했습니다.
레드보드 소장은 북한 해커 조직이 탈취한 이더리움 상당 부분을 비트코인으로 변환하는 데 성공했지만, 아직 현금화하지는 못한 상태라고 설명했습니다.
그러면서 그는 북한이 중국의 지하 금융 네트워크를 활용해 자금 세탁을 시도해왔다며, 국제사회는 물론 중국 정부와 협력해 탈취된 자금을 회수하는 방안을 강구해야 한다고 강조했습니다.
다음은 레드보드 소장과의 인터뷰 전문입니다.
북 광범위 자금세탁 체계 구축
[기자] 북한이 이번에 저지른 사상 최대 규모의 바이비트 해킹 사건의 규모와 특징에 대해 설명해 주실 수 있을까요?
[레드보드 소장] 북한 해커들은 불과 3주 전, 세계에서 두 번째로 큰 암호화폐 거래소인 바이비트에 침투해 총 15억 달러를 탈취했습니다. TRM의 분석에 따르면, 북한은 2017년부터 2023년까지 약 30억 달러를 탈취했고, 2024년 한 해 동안만 8억 달러를 훔쳤습니다. 그런데 이번 해킹에서는 단 하루 만에 15억 달러를 빼돌린 것입니다. 이는 지난 5년간 북한이 훔친 금액의 절반에 해당하며, 2024년 한 해 동안의 해킹 총액의 두 배가 넘는 규모입니다. 북한의 해킹 능력이 얼마나 급속도로 발전했는지를 단적으로 보여주는 사례입니다. TRM 팀은 24시간 내내 이 자금의 흐름을 추적하며 분석 작업을 진행하고 있습니다. 해킹 직후 북한은 첫 48시간 동안 2억~3억 달러를 세탁했으며, 이후 지속적으로 세탁 과정을 이어갔습니다.
[기자] 북한은 해킹한 자금을 어떻게 처리하고 있나요?
[레드보드 소장] 온체인에서 북한이 탈취한 모든 이더리움을 비트코인으로 변환하는 데 성공했습니다. 이 과정은 해킹 발생 후 약 72시간 내에 이루어졌으며, 이는 매우 이례적인 일입니다. 이것은 북한이 이전보다 훨씬 광범위한 자금 세탁 네트워크를 구축했음을 보여줍니다.
다만 한 가지 오해가 있습니다. 일부에서는 북한이 자금을 블록체인에서 완전히 제거하여 오프체인(off-chain)으로 이동시켜 자금세탁을 했다고 주장합니다. 하지만 이는 사실이 아닙니다. 저희가 관찰한 바에 따르면, 북한 해커들은 여전히 상당한 양의 자금을 온체인(on-chain)에서 이동시키고 있습니다.
관련기사
[스페셜] 두더지게임① 주미 북 대사관 역할 하는 해킹조직 ‘김수키’
[스페셜] 두더지게임② 퇴역 군인 등 가상자산 탈취 피해자들 ‘절규’
전 세계가 북 해킹 바이비트 자금 흐름 추적중
[기자] 좀 더 자세하게 설명해 주실 수 있을까요?
[레드보드 소장] TRM에서는 블록체인 기반 소프트웨어를 사용하여 이를 분석합니다. 현재 우리는 약 80개의 서로 다른 블록체인 노드(블록체인 네트워크 참여자)를 운영하며 자금 이동을 추적하고 있습니다. 이러한 자금 이동은 전적으로 블록체인 상에서 이루어집니다. 현재로서는북한이 대규모로 자금을 블록체인 밖으로 옮겨 더 쉽게 사용할 수 있는 실물화폐로 변환하는 사례는 아직 확인되지 않았습니다. 미래에는 가능할지 모르지만, 북한이든 누구든 암호화폐만으로 실제로 무언가를 구매하는 것은 쉽지 않습니다. 김정은이 임페리얼 양주나 기저귀를 사고, 무기를 구입하고 싶어도 암호화폐만으로는 어렵기 때문에 결국 현금화를 해야 합니다. 북한 해커들의 최종 목표는 블록체인에서 자금을 ‘세탁’하여 암호화폐 거래소를 통해 현금으로 변환하는 것입니다. 하지만 현재까지 북한은 이 단계를 완전히 성공적으로 수행하지는 못한 상태이며, 분명히 이를 연구하고 있을 것입니다.
현재 전 세계가 이 자금의 흐름을 추적하고 있으며, 심지어 바이비트는 해킹 자금과 관련해 현상금을 걸었습니다. 또한 TRM 연구원들뿐만 아니라 미 FBI, 한국, 일본 당국도 수사에 참여하고 있습니다. 암호화폐 분석가들도 이를 추적하고 있으며, 북한의 자금 세탁이 점점 더 어려워지고 있는 상황입니다.
중국 내 지하 금융 네트워크가 장애물
[기자] 일부 자금 세탁을 막는데 성공하고 있다고는 하지만 아직 부족한 상황인데요. 북한 해킹 자금의 흐름을 추적하는 데 가장 큰 장애물은 무엇인가요?
[레드보드 소장] 북한의 해킹 자금 흐름을 추적하는 가장 큰 장애물은 바로 중국 내 지하 금융 네트워크입니다. 북한은 중국의 장외거래(OTC) 브로커 네트워크와 삼합회 같은 범죄 조직을 활용해 자금을 세탁하고 있습니다. 또한, 과거 마카오를 비롯한 중국 내 카지노를 이용해 대규모 자금 세탁을 해왔으며, 현재도 유사한 방식이 계속되고 있습니다. 따라서 북한의 자금 세탁을 차단하기 위해서는 기존의 글로벌 법 집행 네트워크를 넘어 중국 당국과 협력하는 방안도 고려해야 합니다.
[기자] 몇 년 전, 제가 로닌네트워크(Ronin network), 아토믹 월렛(Atomic Wallet) 해킹 사건 피해자들과 인터뷰를 했을 때, 일부 피해자들은 해킹의 배후가 북한이 아니라 기업이 내부적인 실수를 덮고 은폐하려는 것이라고 주장했습니다. 또한, 한 러시아 전문가는 북한이 이번 해킹을 저질렀다는 명확한 증거가 없다고 말하기도 합니다. 우리는 어떻게 북한이 이번 해킹의 배후라고 확신할 수 있을까요?
[레드보드 소장] 현재 TRM이 분석한 바에 따르면, 이번 해킹은 북한의 소행이라는 것이 가장 유력한 결론이며, 이는 FBI의 공식 발표와도 일치합니다. 우리가 확인한 것은 북한이 과거에 사용했던 네트워크가 이번 해킹에도 연루되었다는 점입니다. 뿐만 아니라, 그들이 자금을 세탁하는 방식 역시 과거 북한이 사용했던 전형적인 수법과 일치합니다. 물론 다른 의견을 가진 전문가들도 있겠지만, 우리가 분석한 데이터는 북한이 배후라는 점을 강하게 시사하고 있습니다.
[기자] 북한 해커들은 흔적을 남기고 있다는 건가요?
[레드보드 소장] 자금 세탁은 블록체인이든 전통적인 금융 시스템이든 일정한 패턴을 따릅니다. 북한은 특정한 활동 패턴을 반복적으로 사용해 왔으며, 이를 통해 해킹과 자금 세탁의 흔적을 분석할 수 있습니다. 예를 들어, 바이비트 해킹과 연관된 네트워크를 추적해 보면, 과거 북한이 사용했던 네트워크와 상당히 유사한 점을 발견할 수 있습니다.
북 해킹조직은 국가 차원의 사이버 군대
[기자] 이번 바이비트 해킹의 주범이라고 알려졌고, 북한의 대표적인 해킹 조직인‘라자루스 그룹’은 어떤 조직인가요? 이들은 소니 해킹 사건, 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어 공격 등을 감행한 것으로 알려져 있습니다. FBI는 과거 라자루스 그룹 소속 해커인 박진혁 등을 기소한 바 있는데 박진혁도 현재 활동 중일까요?
[레드보드 소장] 마지막 질문에 대해서는 알지 못합니다. 라자루스 그룹이라는 명칭은 BBC 팟캐스트 라자루스 하이스트(The Lazarus Heist)와 제프 화이트의 책을 통해 대중적으로 널리 알려졌습니다. 그러나 개인적으로 저는 ‘라자루스’라는 용어를 잘 사용하지 않습니다. 이유는 이 이름이 너무 독립적인 개념처럼 여겨질 수 있기 때문입니다. 사실상 북한의 해킹 조직은 조선인민군과 직결된 공식적인 국가기관이며, 단순한 해커 그룹이 아니라 국가 차원의 ‘사이버 군대’라고 보는 것이 더 정확합니다.
[기자] 북한 해커들의 관점에서 한 번 생각해보겠습니다. 제가 만약 북한 해커라면, 암호화폐 거래소를 해킹하기 위해 어떻게 운영할까요? 예를 들어, 바이비트 해킹이나 앞서 언급한 아토믹 월렛(Atomic Wallet) 사건 같은 경우, 이들은 어떤 방식으로 공격을 감행할까요?
[레드보드 소장] (너무 이르기 때문에) 바이비트 해킹 방식에 대해 구체적으로 이야기할 순 없지만, 일반적으로 북한 해커들은 사회공학 기법에 집중해왔습니다. 시스템을 직접 해킹하는 것보다, 사람을 먼저 침투하는 방식입니다. 북한 해커들은 매우 인내심이 강합니다. 100명, 500명, 심지어 1천 명에게 피싱 링크를 보내더라도 단 한 명만 클릭하면 성공입니다. 즉, 북한은 이런 방식으로 사회공학 공격을 완벽하게 발전시켜 왔습니다.
더 무서운 점은, 사회공학 공격이 점점 더 정교해지고 있다는 것입니다. 저는 요즘 인공지능(AI)과 딥페이크의 활용 가능성을 많이 고민하고 있습니다. 예전에는 피싱 이메일을 보면 영어 문장이 엉망이었고, 발신 주소도 수상한 경우가 많았습니다. 하지만 이제는 동영상으로 회사 대표가 직접 “이 링크를 클릭하면 승진 관련 서류가 있습니다”라고 말하는 것처럼 보일 수도 있습니다. AI 기술이 발전하면서 피싱 공격은 더욱 정교해지고 있습니다.
북한이 기술에 집중하고 있는 점을 감안할 때, 이러한 사회공학 기법을 더욱 발전시킬 가능성이 큽니다.
최근 저는 TRM 팟캐스트(TRM Talks)에서 영상이나 음성을 조작하는 기술인 ‘딥페이크’ 전문가를 초대했는데, 그가 제 모습으로 등장했습니다. 우리가 사용하는 영상 회의에서 저와 똑같은 배경, 똑같은 목소리로 등장한 것이죠. 이 전문가에 따르면 단 10초 분량의 음성 데이터만 있으면 완벽한 딥페이크를 만들 수 있다고 합니다. 제가 지금까지 제공한 음성 데이터만 해도 이미 충분한 양이라는 것이죠. 이 기술이 위험한 이유는, 지금까지 채용 담당자들이 “화상 면접을 진행하면 북한 IT 노동자를 걸러낼 수 있다”고 믿어왔기 때문입니다. 하지만 AI 기술이 발전하면서, 이제는 북한 IT 노동자가 영국 여성처럼 보일 수도 있습니다.
김정은 집권뒤 더욱 정교한 사이버 능력 갖춰
[기자] 북한이 암호화폐 분야에서 주요 행위자가 된 과정에 대해 설명해 주실 수 있을까요? 언제부터 시작되었고, 어떻게 발전했나요?
[레드보드 소장] 북한의 역사적 배경을 보면 흥미로운 점이 많습니다. 북한은 큰 규모의 경제력을 보유한 적이 없었고, 정권 유지와 무기 개발, 국가 운영을 위한 자금 조달을 위해 지속적으로 불법 활동을 모색해 왔습니다.
제가 검사로 일할 당시 북한의 자금 세탁 사건을 다뤘습니다. 당시 북한은 위조 담배, 위조 100달러 지폐 등을 활용한 범죄 활동에 집중하고 있었습니다. 같은 시기 소니 픽처스 해킹 사건과 방글라데시 중앙은행 해킹이 발생했는데, 이는 북한이 돈을 직접 벌 수 없다면 훔쳐야 한다는 전략을 세운 초기 사례였습니다. 이후 북한은 이러한 해킹 기술을 점점 더 발전시켜 나갔습니다.
2015~2016년 무렵부터 북한은 비트코인을 활용한 자금 세탁을 시작했습니다. 이때까지만 해도 지금처럼 대규모 해킹을 감행하기보다는 불법 수익을 세탁하는 과정에서 암호화폐를 사용했습니다. 하지만 김정은 정권 이후 북한은 기술적으로 더욱 정교한 사이버 작전 능력을 갖추기 시작했습니다.
[기자] 북한의 사이버 위협은 갈수록 더 정교하고 창의적인 방식으로 진화하고 있습니다. 일부에서는 이를 ‘두더지 잡기 게임’에 비유하기도 하는데요. 이에 대한 효과적인 대응 방안은 무엇일까요?
[레드보드 소장] 많은 사람들이 묻는 질문 중 하나가 “왜 법무부는 북한 해커들을 기소하는가?”입니다. 북한 해커들은 해외 출장이 거의 없기 때문에 실제로 체포될 가능성이 낮습니다. 하지만 이들을 공개적으로 기소하고 신원을 밝힘으로써 국제 사회에서 ‘이런 범죄를 저지른 자들’이라는 낙인을 찍고, 자금 세탁 과정에서 발생하는 장애물을 증가시키는 효과가 있습니다.
사람들은 “해킹 조직을 잡아도 다시 생겨난다”며 회의적인 반응을 보이지만, 중요한 것은 우리가 지속적으로 방해를 해야 한다는 점입니다. 북한 해커들의 신원을 공개하여 국제 사회에서 ‘낙인’을 찍고, 해킹 자금의 흐름을 추적하여 자금 세탁을 어렵게 만들고, 거래소 및 믹싱 서비스 차단하여 자금 인출을 차단하는 것입니다.
이러한 조치들은 모두 북한의 해킹 활동에 ‘균열’을 가하는 역할을 합니다. 물론 북한의 해킹을 완전히 막기는 어렵지만, 그들의 작업을 어렵게 만들고, 시간을 지연시키며, 자금 흐름을 차단하는 것이 핵심 전략이 되어야 합니다. 결국 북한과의 싸움은 끝없는 ‘두더지 잡기’가 될 수밖에 없습니다. 하지만 두더지를 계속해서 잡아야 하는 이유는, 이를 통해 북한의 해킹 활동을 최대한 저지할 수 있기 때문입니다.
[기자] 네. 북한의 사이버 위협이 날로 커지고 있는 만큼 국제사회의 강력한 대응이 필요해 보입니다. 지금까지 RFA자유아시아방송 박재우 기자였습니다.
에디터 박정우