유동열
한국 자유민주연구원 원장
국방부 정책자문위원
사이버공간에서 한·미간 공조가 지속적으로 강화되고 있다. 지난 1월 14일 북한이 사이버 공간에서 자행하는 악의적인 가상자산 탈취 활동에 대해 한국·미국·일본 3국이 공동 대응 성명을 발표했다. 지난 해에 발생한 일본의 암호화폐거래소 ‘DMM 비트코인’(3억800만 달러), 인도의 ‘와지르엑스’(2억3500만 달러), 우리나라의 ‘업비트’(5000만 달러), 미국의 ‘래디언트캐피털’(5000만 달러) 등 총 6억6000만 달러(약 9600억 원) 규모의 암호화폐 탈취 사건을 북한 소행으로 지목한 것이다. 한미 당국이 북한의 가상자산 탈취 실태를 공동성명 형식으로 종합해 발표한 것은 이번이 처음이다.
2023년 한·미 ‘전략적 사이버안보 협력 프레임워크’ 채택
이는 한미동맹 70주년 해를 맞이하여 2023년 4월 26일 워싱턴 D.C.에서 윤석열 대통령과 바이든 미 대통령이 한미 정상회담 결과의 하나로 한미동맹을 사이버 공간까지 확장하는 ‘전략적 사이버안보 협력 프레임워크’(SCCF : Strategic Cybersecurity Cooperation Framework)를 채택하고 상호 긴밀하게 협력한 결과이다. 당시 한미 정상은 사이버공간에서의 경제적 번영에 기여하며 국가안보 수호와 자유민주주의를 포함한 우리의 공통 가치들을 존중하는 한・미간의 비전을 공유하겠다고 밝혔다. 특히 주목할 점은 한미 정상이 사이버 안보동맹을 ‘파이브 아이즈’(5-Eyes, 미·영·캐나다·호주·뉴질랜드 정보동맹)와 견줄 수 있는 정보동맹 관계로 발전시키겠다고 밝힌 점이다. 한미 사이버동맹의 현주소를 보여주는 대목이다.
한·미 사이버공조는 2012년 9월 13일 서울에서 제1차 한·-미 사이버정책협의회가 개최되어 국가 정보통신망 보호, 사이버공간에서의 신뢰구축조치, 사이버범죄 대처, 다자무대에서의 협력 등을 의제로 한미 사이버 공조를 구체화한 이래 지속되고 있다.(2024년 1월 제7차 한․미 사이버정책협의회 개최) 이를 밑거름으로 해서 2022년 5월 21일 서울에서 열린 한・미 정상회담 공동성명서에는 양국 간 사이버 공조가 명문화되었다. 동 성명에서 한·미정상은 악의적 사이버 활동 억지, 핵심 인프라의 사이버안보 개선, 사이버범죄 및 관련 자금세탁 방지, 가상자산 및 블록체인 애플리케이션 보호, 역량강화, 사이버훈련, 정보공유, 군사 당국 간 사이버협력, 그리고 사이버공간에서의 다른 국제 안보 이슈들을 포함하여 지역 및 국제 사이버 정책에 대한 양국간 협력을 심화하겠다고 구체적으로 밝힌 바 있다. 이의 결실로서 2023년 한·미간에 ‘전략적 사이버안보 협력 프레임워크’(SCCF)가 채택된 것이다.
북한의 악의적인 사이버 활동 실태
한국, 미국, 유엔 등 국제사회는 오래 전 부터 북한의 사이버 해킹, 암호화폐 탈취 등에 대해 경보를 발령해왔다. 유엔 안전보장이사회 대북제재위원회(일명 1718위원회, 2024년 4월 활동 종료)가 2009년부터 매년 발표하는 전문가 패널보고서를 보면 2019년부터 북한의 사이버 위협에 대해 별도의 장을 신설해 상세히 다루고 있다. 2023년 4월 5일 발표된 유엔 대북제재위원회의 전문가 패널 보고서에 의하면 북한의 해킹 조직들은 2022년 한 해에만 최소 6억3000만달러(약 8190억원), 최대 10억달러(약 1조3000억원)의 암호화폐를 탈취하여 이를 핵무기와 미사일개발 등에 사용했다.
사실 북한의 사이버상 금전탈취는 어제 오늘의 일이 아니다. 전 세계 가상자산 탈취액의 60.9%가 북한에 의해 자행되고 있다. 필자는 이미 10년 전인 2016년 7월 7일 국군기무사령부(현 국군방첩사령부)가 주최한 ‘제14회 국방정보보호·암호 콘퍼런스’ 발제를 통해 북한이 2015년부터 ‘싸이버 외화벌이’라는 용어를 사용했고, 북한이 사이버상에서 연간 1조원 상당의 외화벌이를 하고 있다고 경고한 바 있다. 이른바 사이버 금전탈취 즉 사이버상 도둑질이 북한의 핵심적 외화벌이 수단으로 등장했음을 지적한 것이다.
북한이 사이버 금전탈취에 주력하는 배경은 연이은 핵·탄도미사일 도발로 국제사회의 대북제재가 강화되어 종래의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)이 차단되자 새로운 외화벌이 수단으로 한국 및 전 세계를 대상으로 사이버상 도둑질(금전탈취)을 일삼고 있는 것이다. 특히 북한이 해킹 기술력만 향상시키면 ‘저비용-고효율’의 수익을 가져다주는 황금어장이 사이버공간이기 때문에 더나가 오프라인과는 달리 속성상 공격 원점을 특정하기가 어렵고 블록체인 기술을 악용하여 자금세탁이나 추적을 피할 수 있기 때문에 사이버상 도둑질에 혈안이 되어있다.
그간 북한이 사이버상에서 금전탈취한 대표적 사례는 <표1>에 정리되어 있다. 최근 사례를 보면 2022년 3월 북한은 ‘돈 버는 게임’(P2E·Play to Earn)으로 유명한 ‘액시 인피니티(AXIE INFINITY)’를 해킹해 17만 3000달러 상당의 이더리움, 2550만달러 상당의 USD코인(USDC) 등 가상화폐 6억2500만달러(약 8125억원)를 탈취하여 당시까지 단일 규모로 세계 최고기록을 세웠다. 2024년 일본의 암호화폐거래소 ‘DMM 비트코인’(3억800만 달러) 등 북한이 총 6억6000만 달러(약 9600억 원)을 탈취했다.
올해 2월 21일에는 암호화폐 거래소 ‘바이비트(Bybit)’가 북한 해킹조직에 털려 무려 14억 6천만 달러(2조 440억원) 상당의 암호화폐가 도난당했다. 이는 역대 최대 규모의 암호화폐 해킹 사건으로 기록된다. 바이비트사는 해킹 배후로 북한의 ‘라자루스’(Lazarus) 그룹을 지목했다. 이 그룹은 북한 정찰총국의 정예 사이버 공작부서인 ‘기술정찰국’ 소속 해킹그룹이다. ‘라자루스’는 그동안 한·미당국 및 국제 사이버 보안전문업체들로부터 계속 주목받아 왔다. 세계 사이버 보안전문업체인 시만텍, 파이어아이, 카스퍼스키랩 등은 2014년 미국 소니픽처스 해킹 조사 분석 후 해당 사고를 일으킨 조직 이름을 ‘라자루스’로 명명했다. 이후 라자루스는 세계 여러 금융기관을 직접 공격하는 데 주력했고 2016년에는 방글라데시 중앙은행에서 8100만달러를 탈취하는 데 성공했다. 이어 2022년‘액시 인피니티(AXIE INFINITY)’ 해킹, 올 2월에 바이비트 해킹 등을 자행했다.
흥미로운 점은 한국도 북한에 의해 국내 암호화폐거래소 유빗, 빗썸, 업비트 및 코인레일 등이 연이어 해킹을 당해 2000억원을 상회하는 막대한 국부가 유출되었는데도 당시 문재인 정부는 북한에 항의나 경고, 재발방지 요청, 피해보상, 책임자 처벌 등의 기본적인 요청도 하지 않고 침묵했다는 사실이다. 명백한 국가의 직무유기이다. 다행히 현정부 들어 관계 당국은 대북 제재에 적극적이다. 2024년 2월 10일 정부는 해킹과 금전탈취 등 불법 사이버활동에 관여한 북한 국적자 4명(박진혁, 조명래, 송림, 오충성)과 기관 7곳(조선엑스포합영회사, 라자루스그룹, 블루노로프, 안다리엘, 기술정찰국, 110호 연구소, 지휘자동화대학) 및 라자루스그룹의 가상자산 지갑 주소 8개를 독자 제재 대상으로 지정한 바 있다. 이어 그해 6월 2일에는 북한 해킹조직인 ‘김수키(Kimsuky)’가 전 세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단기술을 절취해 위성 개발에 관여한 혐의로 독자제재 대상으로 추가 지정한 바 있다. 또한 한미·공조로 작년 6월 6일에는 ‘김수키’의 활동에 대한 사이버 보안 조치를 강화하는 한·미 합동 보안 권고문을 발표하기도 했다.
북한 사이버 금전탈취, 반격에 나선 미국과 한국
한·미당국은 북한의 불법적인 대량살상무기(WMD) 및 탄도미사일 프로그램에 사용되는 불법 수익이 사이버상 금전탈취임을 확인하고, 이의 차단과 함께 민간 업계 등을 대상으로 북한의 탈취를 예방하고 탈취 자금 회수에 공동으로 노력하고 있다. 미국 정부는 2024년 9월까지도 북한이 TraderTraitor, AppleJeus 등과 같은 악성 소프트웨어를 사용하여, 암호화폐 업계를 대상으로 위장된 사회공학적 공격을 자행했음을 추적하였다. 여기에 한국뿐만 아니라 일본까지 동참해 한미일 정부가 북한의 사이버 위협 동향과 전술을 감시하고 있다.
한·미당국은 북한 해킹팀을 공동으로 추적하여 북한이 소유한 복수의 비밀 암호화폐 계정과 자금세탁 루트까지 찾아내 이들 계좌를 압류하고 탈취된 자금을 회수하고 있다. 정부는 암호화거래소에 자금세탁방지(AML), 테러자금조달방지(CFT) 시스템을 의무화하여 북한의 불법자금을 동결할 수 있도록 조치했다. 실례로 2021년 5월 미국 캔자스주와 콜로라도주의 병원들이 북한 해커들의 공격에 의해 마비되어 50만달러(약 6억5000만원) 상당의 비트코인을 지급하고 암호키를 받아 복구하였다. 미국 당국은 무려 1년간의 추적을 통해 북한이 비밀리에 사용하는 복수의 암호화폐 계정과 자금세탁 루트까지 찾아내 이들 계좌를 압류하고 탈취된 자금을 전량 회수하는 데 성공했다. 미국이 한국과 공조하여 북한의 사이버 금전탈취에 대해 공세적으로 대응한 결과이다. 또한 북한의 대표적 해킹 조직인 라자루스는 미국 블록체인 기업 ‘하모니’로부터 해킹한 암호화폐 116만달러어치(약 15억3000만원)를 현금화하려다 실패했다. 해킹 직후부터 라자루스의 자금을 쫓았던 미국 당국은 노르웨이(76억여원) 등에서 암호화폐를 잇달아 환수했다.
이외 한·미당국은 북한 IT 인력 불법채용에 대응해 매해 경고문을 발표해왔다. 특히 블록체인 및 프리랜서(구직) 업계와 같은 민간 부문 단체들이 관련 권고문 및 발표문을 적극 참고함으로써 의도치 않은 북한 IT 인력 고용 위험을 경감할 것을 권고하였다. 한·미 당국 및 민관 협력 심화는 사이버상 악성 행위자들의 차단하고, 민간기업을 보호하며, 침탈된 국제 금융 시스템의 안전을 지키는 데 노력하고 있다. 또한 북한의 불법 수익 창출 차단과 민관 협력을 강화하기 위해 2022년부터 심포지엄을 공동으로 주최하고 있다. 일본 금융청은 일본암호화폐거래소협회(JVCEA)와 협력하여 관련 기업에 암호화폐 탈취 위험을 경고하였고 자체 점검을 요청한 바 있다.
그러나 북한은 국제사회의 대북제재망에도 불구하고 이 순간에도 사이버 공간을 외화벌이의 장으로 활용하고 있다. 북한의 수법은 가상자산 탈취뿐만 아니라 불법도박·게임 프로그램 개발, 불법 사이버 도박회사 운영, 디도스 공격 대행, 랜섬웨어 등 다양하다. 최근에는 고숙련 IT 인력을 해외 업체에 위장 취업시켜 외화벌이와 함께 각종 IT 정보를 불법 탈취하고 있다. 올초 한·미 사이버 공동성명에서도 이와 관련한 권고문이 발표된 바 있다.
북한의 사이버 위협은 국제질서를 왜곡하고 한국의 안보에도 직접적 위협이다. 그러나 우리는 이를 차단할 법적 근거인 국가사이버안보기본법(가칭)조차 제정하지 못하고 있다. 향후 더욱 공세화될 북한의 가상자산 탈취 등 사이버 공격을 억지하기 위해 미국 등 국제사회와 공조해 북한 내 사이버 공작부서인 정찰총국이나 해외거점에 대한 물리적 파괴공격 등 비대칭적 응징도 고려해야 한다.
<표> 최근 북한의 암호화폐 등 금전탈취 대표적 사례
연 도 | 사건명 | 내 용 |
2016년 | 방글라데시 중앙은행 | 국제금융결제망 코드 해킹, 8,100만 달러 탈취 |
일본 ATM 해킹 | 일본 17개 지역 ATM 해킹, 18억 6천만엔 탈취 |
2017년 | 한국 ATM 해킹 | ATM 63대 해킹, 총 1억 264만원 탈취 |
한국 빗썸 해킹 | 500억원 상당의 암호화폐 계좌 유출, 일부 인출 |
한국 코인이즈 헤킹 | 암호화폐 21억 탈취 |
한국 인터넷 나야 해킹 | 고객서버 153대 랜섬웨어 협박, 13억원 지급 |
워너크라이 렌섬웨어 | 전 세계 99개국 PC 23만여대, 1억5천 여만원 갈취 |
한국 유빗 해킹 | 1차(2017.4) 구 야피안 55억 상당 암호화폐 탈취 2차(2017.12) 유빗 170억 상당 암호화폐 탈취 |
2018년 | 일본 코인체크 해킹 | 암호화폐 580억엔 탈취 |
한국 코인레일 해킹 | 암호화폐 500억원 탈취 |
2019년 | 한국 빗썸 해킹 | 암호화폐 2000만 달러 상당 탈취 |
한국 업비트 해킹 | 암호화폐 이더리움 580억 탈취 |
2020년 | 한국 빗썸 해킹 | 암호화폐 2000만 달러 탈취 |
2021년 | 미국 병원 랜섬웨어 | 캔자스주와 콜로라도주의 병원, 50만 달러 탈취 |
2022년 | 액시 인피니티 해킹 | 블록체인 게임업체, 6억달러 탈취 |
미국 하모니 해킹 | 블록체인 플랫홈, 암호화폐 1억달러 탈취 |
2023년 | 에스토니아 아토믹 월렛 | 암호화폐 5500만 달러 탈취 |
2024년 | 일본 DMM 비트코인 | 암호화폐 3억800만 달러 탈취 |
인도 WazirX | 암호화폐 2억3500만 달러 탈취 |
한국 업비트 | 암호화폐 5000만 달러 탈취 |
미국 Radiant Capital | 암호화폐 5000만 달러 탈취 |
2025년 | 미국 바이비트 | 비 암호화폐 14.6억 달러(2조440억원 상당) 탈취 |
<출처> 자유민주연구원
[이슈&분석 Issue&Analysis] 강화되는 한·미 사이버 동맹
유동열
한국 자유민주연구원 원장
국방부 정책자문위원
사이버공간에서 한·미간 공조가 지속적으로 강화되고 있다. 지난 1월 14일 북한이 사이버 공간에서 자행하는 악의적인 가상자산 탈취 활동에 대해 한국·미국·일본 3국이 공동 대응 성명을 발표했다. 지난 해에 발생한 일본의 암호화폐거래소 ‘DMM 비트코인’(3억800만 달러), 인도의 ‘와지르엑스’(2억3500만 달러), 우리나라의 ‘업비트’(5000만 달러), 미국의 ‘래디언트캐피털’(5000만 달러) 등 총 6억6000만 달러(약 9600억 원) 규모의 암호화폐 탈취 사건을 북한 소행으로 지목한 것이다. 한미 당국이 북한의 가상자산 탈취 실태를 공동성명 형식으로 종합해 발표한 것은 이번이 처음이다.
2023년 한·미 ‘전략적 사이버안보 협력 프레임워크’ 채택
이는 한미동맹 70주년 해를 맞이하여 2023년 4월 26일 워싱턴 D.C.에서 윤석열 대통령과 바이든 미 대통령이 한미 정상회담 결과의 하나로 한미동맹을 사이버 공간까지 확장하는 ‘전략적 사이버안보 협력 프레임워크’(SCCF : Strategic Cybersecurity Cooperation Framework)를 채택하고 상호 긴밀하게 협력한 결과이다. 당시 한미 정상은 사이버공간에서의 경제적 번영에 기여하며 국가안보 수호와 자유민주주의를 포함한 우리의 공통 가치들을 존중하는 한・미간의 비전을 공유하겠다고 밝혔다. 특히 주목할 점은 한미 정상이 사이버 안보동맹을 ‘파이브 아이즈’(5-Eyes, 미·영·캐나다·호주·뉴질랜드 정보동맹)와 견줄 수 있는 정보동맹 관계로 발전시키겠다고 밝힌 점이다. 한미 사이버동맹의 현주소를 보여주는 대목이다.
한·미 사이버공조는 2012년 9월 13일 서울에서 제1차 한·-미 사이버정책협의회가 개최되어 국가 정보통신망 보호, 사이버공간에서의 신뢰구축조치, 사이버범죄 대처, 다자무대에서의 협력 등을 의제로 한미 사이버 공조를 구체화한 이래 지속되고 있다.(2024년 1월 제7차 한․미 사이버정책협의회 개최) 이를 밑거름으로 해서 2022년 5월 21일 서울에서 열린 한・미 정상회담 공동성명서에는 양국 간 사이버 공조가 명문화되었다. 동 성명에서 한·미정상은 악의적 사이버 활동 억지, 핵심 인프라의 사이버안보 개선, 사이버범죄 및 관련 자금세탁 방지, 가상자산 및 블록체인 애플리케이션 보호, 역량강화, 사이버훈련, 정보공유, 군사 당국 간 사이버협력, 그리고 사이버공간에서의 다른 국제 안보 이슈들을 포함하여 지역 및 국제 사이버 정책에 대한 양국간 협력을 심화하겠다고 구체적으로 밝힌 바 있다. 이의 결실로서 2023년 한·미간에 ‘전략적 사이버안보 협력 프레임워크’(SCCF)가 채택된 것이다.
북한의 악의적인 사이버 활동 실태
한국, 미국, 유엔 등 국제사회는 오래 전 부터 북한의 사이버 해킹, 암호화폐 탈취 등에 대해 경보를 발령해왔다. 유엔 안전보장이사회 대북제재위원회(일명 1718위원회, 2024년 4월 활동 종료)가 2009년부터 매년 발표하는 전문가 패널보고서를 보면 2019년부터 북한의 사이버 위협에 대해 별도의 장을 신설해 상세히 다루고 있다. 2023년 4월 5일 발표된 유엔 대북제재위원회의 전문가 패널 보고서에 의하면 북한의 해킹 조직들은 2022년 한 해에만 최소 6억3000만달러(약 8190억원), 최대 10억달러(약 1조3000억원)의 암호화폐를 탈취하여 이를 핵무기와 미사일개발 등에 사용했다.
사실 북한의 사이버상 금전탈취는 어제 오늘의 일이 아니다. 전 세계 가상자산 탈취액의 60.9%가 북한에 의해 자행되고 있다. 필자는 이미 10년 전인 2016년 7월 7일 국군기무사령부(현 국군방첩사령부)가 주최한 ‘제14회 국방정보보호·암호 콘퍼런스’ 발제를 통해 북한이 2015년부터 ‘싸이버 외화벌이’라는 용어를 사용했고, 북한이 사이버상에서 연간 1조원 상당의 외화벌이를 하고 있다고 경고한 바 있다. 이른바 사이버 금전탈취 즉 사이버상 도둑질이 북한의 핵심적 외화벌이 수단으로 등장했음을 지적한 것이다.
북한이 사이버 금전탈취에 주력하는 배경은 연이은 핵·탄도미사일 도발로 국제사회의 대북제재가 강화되어 종래의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)이 차단되자 새로운 외화벌이 수단으로 한국 및 전 세계를 대상으로 사이버상 도둑질(금전탈취)을 일삼고 있는 것이다. 특히 북한이 해킹 기술력만 향상시키면 ‘저비용-고효율’의 수익을 가져다주는 황금어장이 사이버공간이기 때문에 더나가 오프라인과는 달리 속성상 공격 원점을 특정하기가 어렵고 블록체인 기술을 악용하여 자금세탁이나 추적을 피할 수 있기 때문에 사이버상 도둑질에 혈안이 되어있다.
그간 북한이 사이버상에서 금전탈취한 대표적 사례는 <표1>에 정리되어 있다. 최근 사례를 보면 2022년 3월 북한은 ‘돈 버는 게임’(P2E·Play to Earn)으로 유명한 ‘액시 인피니티(AXIE INFINITY)’를 해킹해 17만 3000달러 상당의 이더리움, 2550만달러 상당의 USD코인(USDC) 등 가상화폐 6억2500만달러(약 8125억원)를 탈취하여 당시까지 단일 규모로 세계 최고기록을 세웠다. 2024년 일본의 암호화폐거래소 ‘DMM 비트코인’(3억800만 달러) 등 북한이 총 6억6000만 달러(약 9600억 원)을 탈취했다.
올해 2월 21일에는 암호화폐 거래소 ‘바이비트(Bybit)’가 북한 해킹조직에 털려 무려 14억 6천만 달러(2조 440억원) 상당의 암호화폐가 도난당했다. 이는 역대 최대 규모의 암호화폐 해킹 사건으로 기록된다. 바이비트사는 해킹 배후로 북한의 ‘라자루스’(Lazarus) 그룹을 지목했다. 이 그룹은 북한 정찰총국의 정예 사이버 공작부서인 ‘기술정찰국’ 소속 해킹그룹이다. ‘라자루스’는 그동안 한·미당국 및 국제 사이버 보안전문업체들로부터 계속 주목받아 왔다. 세계 사이버 보안전문업체인 시만텍, 파이어아이, 카스퍼스키랩 등은 2014년 미국 소니픽처스 해킹 조사 분석 후 해당 사고를 일으킨 조직 이름을 ‘라자루스’로 명명했다. 이후 라자루스는 세계 여러 금융기관을 직접 공격하는 데 주력했고 2016년에는 방글라데시 중앙은행에서 8100만달러를 탈취하는 데 성공했다. 이어 2022년‘액시 인피니티(AXIE INFINITY)’ 해킹, 올 2월에 바이비트 해킹 등을 자행했다.
흥미로운 점은 한국도 북한에 의해 국내 암호화폐거래소 유빗, 빗썸, 업비트 및 코인레일 등이 연이어 해킹을 당해 2000억원을 상회하는 막대한 국부가 유출되었는데도 당시 문재인 정부는 북한에 항의나 경고, 재발방지 요청, 피해보상, 책임자 처벌 등의 기본적인 요청도 하지 않고 침묵했다는 사실이다. 명백한 국가의 직무유기이다. 다행히 현정부 들어 관계 당국은 대북 제재에 적극적이다. 2024년 2월 10일 정부는 해킹과 금전탈취 등 불법 사이버활동에 관여한 북한 국적자 4명(박진혁, 조명래, 송림, 오충성)과 기관 7곳(조선엑스포합영회사, 라자루스그룹, 블루노로프, 안다리엘, 기술정찰국, 110호 연구소, 지휘자동화대학) 및 라자루스그룹의 가상자산 지갑 주소 8개를 독자 제재 대상으로 지정한 바 있다. 이어 그해 6월 2일에는 북한 해킹조직인 ‘김수키(Kimsuky)’가 전 세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단기술을 절취해 위성 개발에 관여한 혐의로 독자제재 대상으로 추가 지정한 바 있다. 또한 한미·공조로 작년 6월 6일에는 ‘김수키’의 활동에 대한 사이버 보안 조치를 강화하는 한·미 합동 보안 권고문을 발표하기도 했다.
북한 사이버 금전탈취, 반격에 나선 미국과 한국
한·미당국은 북한의 불법적인 대량살상무기(WMD) 및 탄도미사일 프로그램에 사용되는 불법 수익이 사이버상 금전탈취임을 확인하고, 이의 차단과 함께 민간 업계 등을 대상으로 북한의 탈취를 예방하고 탈취 자금 회수에 공동으로 노력하고 있다. 미국 정부는 2024년 9월까지도 북한이 TraderTraitor, AppleJeus 등과 같은 악성 소프트웨어를 사용하여, 암호화폐 업계를 대상으로 위장된 사회공학적 공격을 자행했음을 추적하였다. 여기에 한국뿐만 아니라 일본까지 동참해 한미일 정부가 북한의 사이버 위협 동향과 전술을 감시하고 있다.
한·미당국은 북한 해킹팀을 공동으로 추적하여 북한이 소유한 복수의 비밀 암호화폐 계정과 자금세탁 루트까지 찾아내 이들 계좌를 압류하고 탈취된 자금을 회수하고 있다. 정부는 암호화거래소에 자금세탁방지(AML), 테러자금조달방지(CFT) 시스템을 의무화하여 북한의 불법자금을 동결할 수 있도록 조치했다. 실례로 2021년 5월 미국 캔자스주와 콜로라도주의 병원들이 북한 해커들의 공격에 의해 마비되어 50만달러(약 6억5000만원) 상당의 비트코인을 지급하고 암호키를 받아 복구하였다. 미국 당국은 무려 1년간의 추적을 통해 북한이 비밀리에 사용하는 복수의 암호화폐 계정과 자금세탁 루트까지 찾아내 이들 계좌를 압류하고 탈취된 자금을 전량 회수하는 데 성공했다. 미국이 한국과 공조하여 북한의 사이버 금전탈취에 대해 공세적으로 대응한 결과이다. 또한 북한의 대표적 해킹 조직인 라자루스는 미국 블록체인 기업 ‘하모니’로부터 해킹한 암호화폐 116만달러어치(약 15억3000만원)를 현금화하려다 실패했다. 해킹 직후부터 라자루스의 자금을 쫓았던 미국 당국은 노르웨이(76억여원) 등에서 암호화폐를 잇달아 환수했다.
이외 한·미당국은 북한 IT 인력 불법채용에 대응해 매해 경고문을 발표해왔다. 특히 블록체인 및 프리랜서(구직) 업계와 같은 민간 부문 단체들이 관련 권고문 및 발표문을 적극 참고함으로써 의도치 않은 북한 IT 인력 고용 위험을 경감할 것을 권고하였다. 한·미 당국 및 민관 협력 심화는 사이버상 악성 행위자들의 차단하고, 민간기업을 보호하며, 침탈된 국제 금융 시스템의 안전을 지키는 데 노력하고 있다. 또한 북한의 불법 수익 창출 차단과 민관 협력을 강화하기 위해 2022년부터 심포지엄을 공동으로 주최하고 있다. 일본 금융청은 일본암호화폐거래소협회(JVCEA)와 협력하여 관련 기업에 암호화폐 탈취 위험을 경고하였고 자체 점검을 요청한 바 있다.
그러나 북한은 국제사회의 대북제재망에도 불구하고 이 순간에도 사이버 공간을 외화벌이의 장으로 활용하고 있다. 북한의 수법은 가상자산 탈취뿐만 아니라 불법도박·게임 프로그램 개발, 불법 사이버 도박회사 운영, 디도스 공격 대행, 랜섬웨어 등 다양하다. 최근에는 고숙련 IT 인력을 해외 업체에 위장 취업시켜 외화벌이와 함께 각종 IT 정보를 불법 탈취하고 있다. 올초 한·미 사이버 공동성명에서도 이와 관련한 권고문이 발표된 바 있다.
북한의 사이버 위협은 국제질서를 왜곡하고 한국의 안보에도 직접적 위협이다. 그러나 우리는 이를 차단할 법적 근거인 국가사이버안보기본법(가칭)조차 제정하지 못하고 있다. 향후 더욱 공세화될 북한의 가상자산 탈취 등 사이버 공격을 억지하기 위해 미국 등 국제사회와 공조해 북한 내 사이버 공작부서인 정찰총국이나 해외거점에 대한 물리적 파괴공격 등 비대칭적 응징도 고려해야 한다.
<표> 최근 북한의 암호화폐 등 금전탈취 대표적 사례
연 도
사건명
내 용
2016년
방글라데시 중앙은행
국제금융결제망 코드 해킹, 8,100만 달러 탈취
일본 ATM 해킹
일본 17개 지역 ATM 해킹, 18억 6천만엔 탈취
2017년
한국 ATM 해킹
ATM 63대 해킹, 총 1억 264만원 탈취
한국 빗썸 해킹
500억원 상당의 암호화폐 계좌 유출, 일부 인출
한국 코인이즈 헤킹
암호화폐 21억 탈취
한국 인터넷 나야 해킹
고객서버 153대 랜섬웨어 협박, 13억원 지급
워너크라이 렌섬웨어
전 세계 99개국 PC 23만여대, 1억5천 여만원 갈취
한국 유빗 해킹
1차(2017.4) 구 야피안 55억 상당 암호화폐 탈취
2차(2017.12) 유빗 170억 상당 암호화폐 탈취
2018년
일본 코인체크 해킹
암호화폐 580억엔 탈취
한국 코인레일 해킹
암호화폐 500억원 탈취
2019년
한국 빗썸 해킹
암호화폐 2000만 달러 상당 탈취
한국 업비트 해킹
암호화폐 이더리움 580억 탈취
2020년
한국 빗썸 해킹
암호화폐 2000만 달러 탈취
2021년
미국 병원 랜섬웨어
캔자스주와 콜로라도주의 병원, 50만 달러 탈취
2022년
액시 인피니티 해킹
블록체인 게임업체, 6억달러 탈취
미국 하모니 해킹
블록체인 플랫홈, 암호화폐 1억달러 탈취
2023년
에스토니아 아토믹 월렛
암호화폐 5500만 달러 탈취
2024년
일본 DMM 비트코인
암호화폐 3억800만 달러 탈취
인도 WazirX
암호화폐 2억3500만 달러 탈취
한국 업비트
암호화폐 5000만 달러 탈취
미국 Radiant Capital
암호화폐 5000만 달러 탈취
2025년
미국 바이비트
비 암호화폐 14.6억 달러(2조440억원 상당) 탈취
<출처> 자유민주연구원