앵커 :북한 해커들이 사이버 공격을 통한 암호화폐 탈취가 증가하고 있는 가운데 이들의 자금 흐름을 추적해 온 전문가는 현금화를 막는 것만이 북한의 해킹 피해를 최소화하는 길이라고 강조했습니다. 김소영 기자가 블록체인 정보 분석업체, 체이널리시스의 에린 플랜트(Erin Plante) 선임 조사관(Senior director of investigations)과 이야기 나눠봤습니다.
기자 : 최근 몇년간 암호화폐 탈취를 위한 북한 해커들의 해킹 활동이 특히 눈에 띄었는데요. 특기할 만한 사건들을 간단히 소개해주시죠.
플랜트 선임조사관 :올해 공개적으로 북한 소행으로 밝혀진 해킹은 온라인 게임 '액시 인피니티(Axie Infinity)' 사건으로 6억 달러가 탈취됐습니다. 제가 알기론 최고 이용자 수가 매주 200만명에 달하는 매우 인기있는 게임입니다. 이는 엄청난 규모입니다. 이는 언제든 그 게임을 통해 많은 돈이 흐르고 있다는 것을 의미합니다. 따라서 북한 측에는 상당히 유리한 목표물입니다. 공개적으로 북한 해커 소행으로 규정되진 않았지만 우리가 구체적으로 이름을 공개할 수 없는 많은 다른 해킹도 있습니다. 일부 언론에서는 블록체인 기업 '하모니(Harmony)'에 대한 해킹이 북한의 소행으로 의심되고 있습니다. 이를 통해 1억 달러가 탈취됐습니다. 여기서 흐르는 자금 규모 때문에 북한에는 수익성이 좋은표적이 되고 있습니다.
기자 : 암호화폐는 전통적인 자금보다 추적이 더 어려운 약점 때문에 북한이 암호화폐 탈취에 더 집중하는 거겠죠?
플랜트 선임조사관 :체이널리시스는 북한의 자금 흐름을 분석하는 일을 합니다. 북한은 해킹 후 자금 세탁에 능합니다. 해킹이 발생하고 난 후 자금의 흔적을 숨기기 위해 난독화 기법을 많이 사용하기 때문에 조사관들이 추적하기 더 어렵습니다. 그들은 즉시 자금을 현금화하려고 하지 않습니다. 그들은 탈취된 암호화폐를 여러 개로 쪼개 출처를 알기 어렵게 하는 믹서를 활용해 궁극적으로 수사망을 피하려고 시도합니다. 우리는 북한이 자금을 현금화하려고 시도하는 지점까지 모든 난독화를 해제해 자금을 추적하고 있습니다. 그리고 그것이 우리가 법 집행 기관과 함께 탈취 자금을 압수하는 과정의 핵심입니다.
기자 : 그럼 북한이 자금세탁을 시도하는 과정에서 탈취된 자금을 회수하는 게 되겠네요?
플랜트 선임조사관 :네. 우리가 캐시 아웃 포인트(Cash out point)라고 부르는데요. 해커들은 궁극적으로 암호화폐를 변환해 무언가를 구매하거나 일반 화폐로 변환해야 합니다. 그들의 궁극적인 목표는 그들이 암호화폐를 사용해 물건을 구매하기를 원하거나 구매한 물건을 현금으로 전환하기를 원하는 거죠. 북한 해커들은 훔친 자금이라는 사실을 알지 못하도록 (세탁한 후) 현금화해 자금 출처를 은폐합니다.
기자 : 유엔 보고서에 따르면 북한은 훔친 자금을 모두 현금화하지 않고 암호화폐 시세 차익을 노리기 위해 그대로 보유하고 있다고 하는데요. 사실인가요?
플랜트 선임조사관 :네, 북한은 암호화폐를 그대로 둡니다. 그들은 수년 동안 암호화폐를 보유하고 있습니다. 북한 해커들은 향후 해킹을 한 후에도 꽤 오랫동안 전자지갑(월렛)에 자금의 일부를 남겨둘 것입니다. 그들은 암호화폐 시장에서 가치가 올라갈 기회를 잡을 가능성이 있다는 것을 알고 있습니다. 그들이 훔친 암호화폐를 보관하고 있는 지갑이 있다는 건 안전한 보관 장소를 알고 있다는 것입니다. 수사관이나 법 집행 기관이 지갑을 통제할 수 있는 방법은 없습니다.
기자 : 미국 정부에서는 법적으로 어떤 대응에 나서고 있나요?
플랜트 선임조사관 :북한 해킹 범죄는 두 가지로 나뉩니다. 첫째는 기업과 네트워크(연결망)을 해킹하는 것이고 두 번째는 돈세탁입니다. 따라서 해킹이 발생하고 자금이 도난당한 후 자금을 세탁하는 사람이 항상 같은 사람은 아닙니다. 그들은 때때로 중국에 기반을 둔 전문 자금 세탁 서비스를 활용합니다. 법 집행 기관이 취하는 두 가지 방법은 돈세탁을 쫓는 것과 해커 자체를 추적하는 것입니다. 해커 추적 자체는 식별과 포착이 매우 어려운 대부분의 사이버 범죄와 같습니다. 돈 세탁업자들은 오랜 기간 동안 자금을 세탁해 왔기 때문에 더 많은 흔적을 남깁니다. 법 집행 기관은 종종 이를 표적으로 합니다.
기자 : 북한은 암호화폐 탈취 뿐 아니라 여전히 이메일 피싱과 같은 전통적인 해킹도 활발히 수행하고 있는 것으로 보입니다. d
플랜트 선임조사관 :북한은 여전히 피싱 등 오래된 사이버 공격 수법을 사용합니다. 종종 이러한 연결망(네트워크)에 대한 접근(액세스) 권한을 얻는 방법은 피싱을 통해 이뤄지며 이는 기존의 사이버 보안 공격이 발생하는 방식과 동일합니다. 누군가 실수로 접속 주소(링크)를 클릭하거나 첨부문서를 클릭하면 컴퓨터에 맬웨어, 즉 악성코드가 설치됩니다. 그럼 북한은 개인 정보에 접근할 수 있는 키(key)를 얻을 수 있게 됩니다. 피싱을 통해 내려받은 악성코드를 통해 이번 '액시 인피니티' 해킹이 발생한 겁니다. 하모니 사건에서도 이러한 수법의 해킹이 발생했을 가능성이 있고, 다른 많은 해킹에서도 발생하고 있습니다. 북한은 여러 공격에서 동일한 악성코드를 사용합니다. 이제 북한은 암호화폐의 발전과 함께 사이버 해킹 기술을 진화시키고 있습니다.
기자 : 최근 미 정부는 북한의 탈취 자금 세탁을 도운 믹서 업체 '토네이도 캐시'를 제재 대상에 추가했는데요.
플랜트 선임조사관 :미국에서 자산 통제를 위해 믹서 업체 두 곳에 대해 제재를 가했습니다. 첫 번째는 '블렌더(Blende)'로 몇 달 전 지정됐고, 최근에 지정된 곳은 '토네이도 캐시(Tornado cash)입니다. 토네이도 캐시는 북한이 자금을 혼합하는 데 많이 사용했기 때문에 이러한 제재는 법 집행 기관이 자금의 이동을 멈추기 위해 시도하는 법적 도구 중 하나입니다. 토네이도 캐시 제재가 암호화폐들의 현금화에 어떤 영향을 미칠지 확인하기 위해서는 앞으로 몇 달이 걸릴 것입니다. 하지만 이런 믹서 서비스 업체들에게는 부담이 될 것입니다. 이들은자금이 어디서 들어오는지, 불법 자금인지 살펴봐야 할 것입니다.
기자 : 이러한 정부 기관의 적극적인 추적과 감시에도 불구하고 북한은 해킹을 쉽게 멈출 것 같지 않은데요. 앞으로 전망은 어떻게 보고 있나요?
플랜트 선임조사관 :암호화폐에 대한 북한의 해킹 공격을 막을 수 있는 유일한 방법은 현금화를 막는 것입니다. 어떤 범죄자도 해당 활동에 대한 대가를 보장된다면 범죄 활동을 멈추려 하지 않을 것입니다. 그리고 이러한 공격은 그들에게 매우 유리합니다. 그들은 올해에만 10억 달러가 넘는 암호화폐를 훔쳤습니다. 북한의 국내총생산(GDP)이 1억 달러 미만이라는 점을 감안할 때 이러한 탈취 자금은 북한으로 들어가는 수입의 상당 부분을 차지합니다. 어쨋든 현재로서 북한이 해킹을 멈출 이유는 없습니다. 따라서 어떻게든 북한의 탈취 자금 현금화를 단속하는 것만이 공격을 멈출 수 있는 방법입니다. 북한은 계속해서 사이버 공격을 벌일 겁니다.
앵커 :지금까지 김소영 기자와 에린 플랜트 채이널리시스 선임조사관과의 대담이었습니다.
기자 김소영 에디터 양성원, 웹팀 이경하