뉴욕 타임스: 북한은 어떻게 암호 해킹을 이용해 막대한 지출을 위한 자금을 마련하는가?

원제: 《북한이 팬데믹 동안 암호화폐를 이용해 해킹한 방법》

저자: 최상훈 & 데이비드 야페-벨라니, 뉴욕타임스

번역: 비스킷, 체인캡처

북한의 경제는 유엔 제재와 코로나19의 유린을 받으며 식량 부족에 시달리고 있다. 동시에 이 지역에서는 출처가 불분명한 간염 바이러스가 나타나 6월부터 대규모로 확산되었다.

그러나 올해 북한의 미사일 시험은 어느 해보다 많았다. 정부는 당내 엘리트들에게 새로운 고급 주택을 제공하고 있다. 북한의 지도자 김정은은 국가의 무기고를 위한 첨단 기술 개발을 약속했다. 북한은 언제든지 제7차 핵실험을 실시할 것으로 예상된다. 그런데 자금은 어디서 오는 것일까?

올해 4월, 미국은 북한 해커들이 체인 게임 Axie Infinity에서 6억 2천만 달러의 암호화폐를 훔쳤다고 공개적으로 비난하며 북한 정권의 경제적 출처를 설명했다. 이는 암호화 분야에서 가장 큰 도난 사건으로, 미국은 암호화폐 도난이 북한이 코로나19 팬데믹 동안 자금을 모으는 매우 수익성이 높고 상대적으로 위험이 적은 방법이 되었다는 강력한 증거를 제시했다.

가난하고 고립된 북한은 오랫동안 불법 활동을 통해 외화를 획득해왔다. 구체적인 방법으로는 무기 밀매, 마약 운송, 달러 위조 등이 있으며, 북한 노동자들은 미얀마 군부를 위해 터널을 파고 아프리카 독재자를 위해 동상과 기념비를 건설한다. 또한 북한은 해커를 양성하여 외국 웹사이트를 해킹하고 기업과 은행에서 자금을 훔친다.

코로나19로 인해 많은 국가가 출입국을 통제하고 전통적인 은행들이 해커에 대한 방화벽을 강화함에 따라 암호화폐 도난은 북한 정권에 점점 더 중요한 외화 획득 수단이 되었다. 북한 해커들은 2017년 1월부터 2018년 9월 사이에 암호화폐 거래소에서 5억 7천만 달러를 훔쳤고, 2019년부터 2020년 11월 사이에는 3억 1천6백만 달러를 훔쳤다고 한다.

암호 데이터 회사 Chainalysis의 데이터에 따르면, 북한 해커들은 지난해 거의 4억 달러의 암호화폐를 훔쳤을 가능성이 있다. 올해 이 분야의 수익은 약 10억 달러에 달할 것으로 보인다. 그러나 한국 정부 통계 기관의 데이터에 따르면, 북한의 2020년 공식 수출 수익은 8900만 달러에 불과하다.

암호화폐는 안정적인 자금 출처가 아니다. 지난 두 달 동안 시장이 붕괴되면서 수천억 달러의 자금이 증발했으며, 비트코인 가격은 2020년 말 이후 처음으로 20,000달러 아래로 떨어졌다. 지난해 말 기준으로 북한은 1억 7천만 달러 가치의 암호화폐를 보유하고 있었으며, Chainalysis에 따르면 이 암호화폐는 북한이 훔쳤지만 현금으로 바꾸지 않은 자금이다. 지난주 기준으로 이 자금의 가치는 6500만 달러에 불과하다.

그러나 북한이 팬데믹 발발을 우려하여 스스로를 봉쇄한 가운데, 해커들이 암호화폐 거래소를 공격함으로써 팬데믹을 통제하고 정부의 규제가 없는 산업에서 외화 수익을 얻을 수 있었다.

북한 해커들은 사이버 공간에서 돌아다니며 파괴적인 공격을 감행하지만, 대부분의 지역이 오프라인 상태이기 때문에 체포될 위험은 거의 없다. "북한에게 이것은 저비용, 저위험이지만 고수익인 범죄 사업입니다,"라고 한국 경찰청 전 반테러 분석가 유동률이 말했다.

북한의 수도 평양은 엘리베이터를 운영할 전력이 거의 없고, 대부분의 사람들은 컴퓨터는커녕 인터넷도 사용하지 못한다. 그럼에도 불구하고 북한은 세계의 많은 영리하고 공격적인 해커들의 본거지이다.

북한 학생들은 국제 컴퓨터 프로그래밍 대회에서 세계 유수의 대학 동료들과 경쟁한다. 한국 국가정보원에 따르면, 2013년까지 김정은은 자신의 해커들을 "만능의 검"이라고 부르며, 그의 핵무기와 미사일의 "정밀 조준 능력"과 동등하게 여겼다.

"북한 해커의 독특한 점은 그들이 정부의 계획 하에 교육받고 배치되며 운영된다는 것입니다,"라고 유 씨는 말했다. 한국의 추정에 따르면, 북한은 약 6,800명의 사이버 전사로 구성된 해커 군대를 보유하고 있으며, 이 중 1,700명은 7개의 서로 다른 부서에서 활동하는 해커이고, 5,100명은 기술 지원 인력이다.

우수한 학생들은 어릴 때부터 철저하게 선발되고 양성된다. 한국 정부 관계자에 따르면, 그들 중 뛰어난 인재들은 북한 주요 정보기관인 정찰총국 또는 군이 운영하는 미림대학교(Mirim College)에서 관리하는 모란봉대학교(Moranbong)의 해커 교육 프로그램에 참여한다. 졸업 후, 대부분은 정찰총국의 사이버 전쟁 부서인 121부서에 배치된다.

북한에서는 당국의 심사를 거친 충성도 높은 노동자만이 해외에서 일할 수 있다. 그 중 충성도가 높은 해커들은 중국, 러시아, 벨라루스, 싱가포르, 필리핀, 말레이시아 등 동남아 국가에서 활동하며 종종 컴퓨터 엔지니어로 위장한다.

Axie Infinity는 블록체인 기반의 돈 버는 게임으로, 플레이어는 게임에서 암호화폐로 교환할 수 있는 토큰을 얻는다. 올해 초, 이 게임은 6억 2천만 달러의 암호화폐를 도난당했다.

해외의 다른 북한 노동자들과 마찬가지로 이 해커들은 평양에서 파견된 정치 인사의 감시 하에 운영된다.

"만약 당신이 그들이 다른 사람의 네트워크를 공격하면서 도덕적 죄책감을 느낄 것이라고 생각한다면, 당신은 잘못된 생각을 하고 있는 것입니다,"라고 미림대학교를 졸업하고 북한 군대에서 장교로 복무하다 2008년 한국으로 탈출한 장세율 씨가 인터뷰에서 말했다. "그들에게 사이버 공간은 전장입니다. 그들은 그들의 국가에 해를 끼치는 적과 싸우고 있습니다."

장 씨는 북한이 처음에 전자전 능력을 방어 목적으로 구축했지만, 곧 그것이 디지털 적에 대한 효과적인 공격 무기가 될 수 있다는 것을 깨달았다고 말했다.

장 씨가 서울에 도착했을 때, 한국과 미국의 웹사이트는 사이버 공격을 받고 있었다. Lazarus, Kimsuky, BeagleBoyz와 같은 이름을 가진 북한 해커들은 점점 더 복잡한 도구를 사용하여 전 세계의 군사, 정부, 기업 및 방산 산업 네트워크에 침투하여 사이버 스파이 활동을 하고 민감한 데이터를 훔쳐 국가의 무기 개발을 돕고 있다.

"확실히 북한 해커들은 정말 대단합니다,"라고 유엔 전문가 그룹의 조정자인 에릭 펜턴-워크가 4월의 한 웨비나에서 말했다. 그는 북한의 공식 명칭인 "조선민주주의인민공화국"의 약어를 사용했다. "그들은 매우 흥미롭고 규제가 부족한 암호화폐 분야에 주목하고 있습니다. 왜냐하면 아무도 그것을 제대로 이해하지 못하고, 그들은 모든 약점을 이용하는 데 능숙하기 때문입니다."

Chainalysis에 따르면, 북한 해커들은 일반적으로 피싱 공격을 통해 외국 암호화폐 지갑을 해킹하며, 가짜 LinkedIn 채용 페이지나 기타 미끼를 사용하여 피해자를 유인한다. 그런 다음 해커들은 복잡한 금융 도구 세트를 사용하여 도난당한 자금을 이동시키고, 여러 디지털 자산 흐름의 암호화 애플리케이션 "Tor"를 통해 전리품을 이동시켜 피해자가 도난당한 암호화폐의 흐름을 추적하기 어렵게 만든다.

"그들은 자금 세탁을 매우 체계적으로 수행합니다,"라고 Chainalysis의 조사 수석 이사인 에린 플란트가 말했다. "그들은 오랜 시간 동안 소량의 이동만을 수행하며, 결국 조사관을 피하려고 합니다."

마지막 단계는 암호화폐를 현금으로 바꾸는 것이다. 일반적으로 북한은 오프쇼어 거래소를 이용하여 도난당한 암호화폐를 인민폐로 교환한다. "그들은 도난당한 자금의 대부분을 현금으로 바꿨습니다,"라고 플란트 씨가 말했다. "이는 그들에게 제재를 피할 수 있는 매우 강력한 도구입니다."

암호 게임 Axie Infinity는 2018년 베트남에서 설립된 Sky Mavis 회사에 의해 만들어졌다. 게임 참가자들은 사냥을 통해 암호화폐를 축적한다. 지난해까지 이 게임의 일일 활성 사용자 수는 250만 명을 넘었다. 게임의 성공은 이 회사를 북한 해커의 표적이 되게 했다: Sky Mavis의 직원들은 다양한 소셜 채널을 통한 고급 피싱 공격의 지속적인 표적이 되었다.

Sky Mavis의 창립자 알렉산더 레너드 라르센은 한 직원이 Word 문서를 다운로드한 후 해킹 공격을 받았다고 말했다. 그는 현재 이 직원은 회사에 더 이상 재직하지 않고 있다고 덧붙였다.

"전체 산업은 조만간 이 재앙에 직면할 것입니다,"라고 라르센은 말하며, 북한 해커의 Sky Mavis 공격은 암호 산업의 "경종"이 되어야 한다고 덧붙였다. 그는 앞으로 더 많은 보안 위협이 있을 것이라고 예상했다.

미국 정부는 암호 도난을 단속하고 해커를 처벌하려고 한다. 4월, 미국의 암호화폐 전문가 버질 그리피스는 2019년 평양에서 열린 회의에 무단으로 참석하고 북한에 암호화폐를 홍보하며 그 기술을 전수한 혐의로 63개월의 징역형을 선고받았다.

미국은 또한 "광범위한 범죄 음모"에 연루된 세 명의 북한 해커를 기소했으며, 이들은 은행과 암호화폐 회사에서 13억 달러 이상을 도난당한 혐의를 받고 있다. 그 중 한 해커인 박진혁은 북한 박람회에서 정보 기술 업무를 수행했으며, 미국 관리는 북한 박람회를 북한 라자루스 그룹의 그림자 회사로 간주하고 있다.

지난주, 암호화폐 플랫폼 Harmony는 1억 달러의 암호화폐가 도난당했다고 발표했다. Chainalysis는 자금의 흐름을 추적했으며, 이 자금은 믹서 Tornado로 흘러갔다. Chainalysis는 월요일에 이러한 이동 경로가 익숙한 시나리오를 따르며 명백한 범인인 북한을 가리킨다고 밝혔다.