두바이에 본사를 둔 암호화폐 거래소 바이비트(Bybit)의 사장 벤 저우는 2월 21일이 평범한 날이었다고 회상했습니다. 잠자리에 들기 전 그는 회사 계좌 간 자금 이체를 승인했는데, 이는 전 세계적으로 6,000만 명이 넘는 사용자에게 서비스를 제공할 때 수행되는 "전형적인 작업"입니다. 30분 후에 그는 전화를 받았다. "벤, 문제가 생겼어요." 그의 CFO가 떨리는 목소리로 말했다. "우리는 해킹을 당했을 수도 있습니다... 모든 이더리움이 사라졌습니다."

독립 조사관과 FBI는 즉시 익숙한 원흉을 지목했습니다. 바로 북한입니다. 은둔 왕국의 해커들은 암호화폐 산업에 가장 큰 위협 중 하나로 떠올랐으며, 북한 정권의 중요한 수입원으로 자리 잡았습니다. 이들은 북한 정권이 국제 제재를 방어하고 엘리트들을 통제하고 미사일과 핵무기 프로그램에 자금을 지원하는 데 도움을 줍니다.

암호화폐 조사 기업 체이널리시스(Chainalysis)의 데이터에 따르면, 북한 해커들은 2023년에 총 6억 6,100만 달러를 훔쳤으며, 2024년에는 도난 금액이 두 배로 늘어나 47건의 도난 사건으로 총 13억 4,000만 달러를 훔쳤습니다. 이는 전 세계에서 도난당한 암호화폐 총액의 60%가 넘는 금액입니다.

ByBit 도난 사건은 해커들이 점점 더 숙련되고 야심적이 되고 있다는 것을 보여줍니다. 북한은 한 번의 공격으로 거래소에서 15억 달러 상당의 금액을 훔쳤는데, 이는 암호화폐 역사상 가장 큰 도난 사건이었습니다.

북한 사이버군의 기원

북한의 공격은 수십 년에 걸친 노력의 결과였습니다. 이 나라의 최초의 컴퓨터 과학 학교는 적어도 1980년대로 거슬러 올라갑니다. 걸프 전쟁은 정권이 현대전에 사이버 기술이 얼마나 중요한지 깨닫는 데 도움이 되었습니다. 2016년 망명한 북한의 고위 외교관 태영호는 수학에 재능이 있는 학생들은 특수학교에 보내지고 농촌의 연례 의무 노동에서 면제된다고 말했습니다. 북한의 사이버 부대는 원래 간첩 및 방해 행위의 도구로 구상되었지만 2010년대 중반부터 사이버 범죄에 초점을 맞추기 시작했습니다. 김정은은 사이버전을 "다용도의 칼"이라고 불렀다고 합니다.

암호화폐 공격 및 자금 세탁

암호화폐를 훔치는 데는 두 가지 주요 단계가 포함됩니다. 첫 번째 단계는 목표 시스템을 해킹하는 것입니다. 이는 은행 금고로 통하는 지하 통로를 찾는 것과 같습니다. 피싱 이메일에는 악성 코드가 삽입될 수 있습니다. 북한 요원들은 가짜 취업 면접을 통해 소프트웨어 개발자들을 속여 감염된 파일을 열게 하기 위해 채용담당자로 가장했습니다. 또 다른 방법은 가짜 신원을 사용하여 외국 회사의 원격 IT 직무를 얻는 것인데, 이는 계정에 접근하기 위한 첫 번째 단계가 될 수 있습니다. "그들은 소셜 엔지니어링을 통해 취약점을 찾는 데 매우 능숙합니다."라고 Chainalysis의 Andrew Fierman이 말했습니다. ByBit 사건에서 해커들은 디지털 지갑 소프트웨어 공급업체에서 일하는 개발자들의 컴퓨터에 침입했습니다.

일단 도난당한 암호화폐는 세탁이 필요합니다. 더러운 돈은 여러 디지털 지갑에 분산되고, 깨끗한 자금과 섞이며, 서로 다른 암호화폐로 이체됩니다. 이 과정은 업계에서 "코인 믹싱"과 "체인 호핑"으로 알려져 있습니다. 블록체인 분석 회사 Elliptic의 톰 로빈슨은 "그들은 우리가 지금까지 본 것 중 가장 정교한 암호화폐 세탁자입니다."라고 말했습니다. 결국 도난당한 자금은 인출되어야 합니다.

이를 달성하는 데 도움이 되는 지하 조직의 수가 늘어나고 있으며, 그 중 다수가 조직범죄와 연관되어 있습니다. 법 집행 기관의 차단과 도로 봉쇄로 전체 수입이 감소했지만, 블록체인 인텔리전스 회사 TRM Labs에 근무하는 전 FBI 분석가 닉 칼슨은 북한이 훔친 자금의 "확실히 80%, 어쩌면 90%"를 받을 것으로 예상할 수 있다고 말했습니다.

북한이 암호화폐를 훔치는 데 능숙한 이유

북한이 암호화폐를 훔치는 데 능숙한 이유

북한에는 여러 가지 장점이 있다. 하나는 재능입니다. 이는 반직관적으로 들릴지도 모릅니다. 이 나라는 극도로 가난하고, 일반 국민은 인터넷은 물론 컴퓨터도 사용할 수 없습니다. 하지만 서울 고려대학교의 김승주 교수는 "북한은 최고의 인재를 골라내서 무엇을 해야 할지 지시할 수 있다"고 말했다. "그들은 삼성에서 일하게 될까봐 걱정할 필요가 없습니다." 2019년 국제 대학생 프로그래밍 경연대회에서 북한 대학의 한 팀이 케임브리지, 하버드, 옥스퍼드, 스탠포드의 팀을 누르고 8위를 차지했습니다.

이러한 재능 또한 활용되었습니다. 북한 해커들은 24시간 내내 일합니다. 그들은 공격에 있어서 남다른 대담함을 보였다. 조지아 공대의 제니 준은 대부분 국가 행위자들은 외교적 반발을 피하고 "오션스 일레븐에 나오는 인물처럼 행동합니다. 즉, 흰 장갑을 끼고 조용히 들어가 왕관 보석을 훔치고 조용히 떠납니다"라고 말했습니다. 북한은 "비밀을 중시하지 않으며, 큰 소리를 내는 것을 두려워하지 않습니다."

북한이 훔친 암호화폐로 무엇을 하고 있는가

북한 정권에게 도난당한 암호화폐는 생명줄이 됐습니다. 특히 국제 제재와 코로나바이러스 팬데믹으로 인해 이미 제한적이었던 거래가 위축된 상황에서 더욱 그렇습니다. 암호화폐 도난은 해외 노동이나 불법 마약 등 전통적인 화폐 획득 방법보다 더 효율적인 화폐 획득 방법입니다. 감시 기관인 유엔 전문가 패널(UNPE)은 2023년 보고서에서 사이버 도난이 북한의 외화 수입의 절반을 차지한다고 밝혔습니다. 작년 북한의 디지털 도난 규모는 중국 수출 규모보다 3배 이상 컸다. 칼슨 씨는 "단 몇십 명만으로 복제할 수 있는 것을 성취하려면 수백만 명의 노동력이 필요합니다."라고 말했습니다.

이러한 자금은 북한 정권을 지원하는 데 도움이 됩니다. 경화는 엘리트를 통제하기 위한 사치품을 구매하는 데 사용됩니다. 무기 제조에도 사용됩니다. 북한이 훔친 암호화폐의 상당 부분이 미사일과 핵무기 프로그램으로 흘러들어간 것으로 추정됩니다.

앞으로 북한의 해킹 공격이 더 많이 일어날까요?

암호화폐 조사관들은 블록체인에서 도난당한 자금을 추적하는 능력이 점점 향상되고 있습니다. 주요 암호화폐 거래소와 스테이블코인 발행자는 종종 법 집행 기관과 협력하여 훔친 자금을 동결합니다. 2023년 미국, 일본, 한국은 북한의 사이버범죄에 대처하기 위한 합동작전을 발표했습니다. 미국은 북한이 사용하는 몇몇 암호화폐 믹싱 서비스 제공업체를 제재했습니다.

하지만 당국은 여전히 ​​한발 뒤쳐져 있다. 미국이 북한이 선호하는 코인 믹서에 제재를 가한 후, 해커들은 비슷한 서비스를 제공하는 다른 회사로 눈을 돌렸습니다. 이 문제를 해결하려면 정부와 민간 부문 간의 다자간 노력이 필요하지만, 이러한 협력은 꾸준히 실패해 왔습니다. 작년에 러시아는 유엔에서 거부권을 행사하여 유엔 사이버보안 역량 위원회를 폐지했습니다. 도널드 트럼프 대통령이 미국의 개발 원조를 삭감하려는 움직임은 취약한 국가의 사이버 보안 역량을 구축하는 프로그램에 타격을 입혔습니다.

반면에 북한은 사이버범죄에 점점 더 많은 자원을 투자하고 있다. 한국 정보 당국은 북한의 사이버범죄 조직이 2022년 6,800개에서 작년 8,400개로 늘어났다고 추정합니다. 인도 싱크탱크인 옵저버 연구 재단의 아비쉔 샤르마는 암호화폐 산업이 규제가 약한 국가에서도 확대되면서 북한이 "타겟팅 환경이 점점 더 풍부해졌다"고 말했습니다. 샤르마 씨는 작년에 북한이 인도와 인도네시아의 거래소를 공격했다고 지적했습니다.

북한이 이미 작전에 AI를 활용하고 있다는 것은 잘 알려진 사실이다. AI 도구를 사용하면 여러 언어로 대규모 피싱 이메일을 더 설득력 있고 쉽게 작성할 수 있습니다. 이를 통해 원격 IT 근로자가 회사에 침투하기가 더 쉬워질 수도 있습니다. Bybit의 저우 씨처럼 나쁜 날이 더 흔해질 가능성이 큽니다.