[김민석의 Mr. 밀리터리] 핵·미사일 자금 고갈 돼 … 북한, 암호화폐 탈취에 눈 돌리나
북, 은행에서 암호화폐 털이로 #일본 암호화폐 순식간에 도난 #북한, 국내 암호화폐도 훔쳐가 #김일성대학으로 송금 지시도 #북 암호화폐로 10조원 조성 #해킹그룹 라자루스 북한 소속
북한의 대남 사이버 공격이 암호화폐 거래소로 옮겨가고 있다. 일본에선 지난달 발생한 사상 최대 규모의 암호화폐 도난 사건 수사가 진행 중이다. 해커는 일본의 암호화폐 거래소 코인체크에서 20∼30분 만에 5600억원 어치의 암호화폐 넴(NEM) 523만 개를 탈취해갔다. 이 해킹은 동유럽을 경유했다는 사실만 확인되고 있다. 현재로선 누가 탈취범인지 알 수는 없지만 이를 계기로 북한의 사이버 해킹 행태를 알아본다.
북한의 사이버 공격이 지능화되면서 공격 대상도 일반기관 해킹에서 은행털이를 거쳐 암호화폐 거래소로 바뀌고 있다. 북한의 핵 개발과 미사일 발사에 따른 국제사회의 대북제재가 강화되고 중국과의 무역이 끊기면서 자금이 고갈될 지경이어서다. 그래서 북한의 눈길은 부족한 자금 확보를 위해 해외은행이나 암호화폐 거래소로 쏠리고 있는 것이다. 지난해 10월 미국 상원 군사위 청문회에서 “북한이 랜섬웨어 공격과 전 세계 은행 등을 상대로 한 사이버 공격으로 핵 프로그램에 필요한 자금을 모으고 있다”는 리처드 불루멘탈 미 상원의원의 발언이 빈말로 들리지 않는다.
![[그래픽=박경민 기자 minn@joongang.co.kr]](https://pds.joongang.co.kr//news/component/htmlphoto_mmdata/201802/02/872e80cd-30f6-46ef-9aff-0ab24ca95009.jpg)
[그래픽=박경민 기자 minn@joongang.co.kr]
북한이 개발한 ‘워너크라이’라는 랜섬웨어는 특정 사이트를 공격해 자료를 임의로 암호화시키는 악성코드다. 북한은 워너크라이로 암호화한 자료를 풀어주는 대가로 돈을 챙겼다. 해킹한 자료를 인질로 돈을 버는 수법이다. 자유민주연구원 유동열 원장은 “북한이 사이버(공격)로 벌어들인 외화를 연간 1조 원대로 추정한다”면서 “지난해 방글라데시 은행에서도 8100만 달러를 털어갔다”고 말했다. 전 세계 은행 연결망(SWIFT망) 해킹을 통한 북한의 은행털이 수법이 드러나자 미국의 요청으로 북한을 SWIFT망에서 퇴출시켰다.
그러자 북한의 관심은 자연히 암호화폐 거래소로 옮겨가는 분위기다. 암호화폐 자체는 암호 수준이 높아 거래과정에선 탈취될 가능성이 없다. 그러나 이를 보관하고 있는 거래소의 보안이 취약하다는 점을 북한이 악용하고 있다. 뉴스위크는 지난 1월 북한이 암호화폐 비트코인 거래소와 해킹전쟁을 벌이고 있는데 이는 역사상 가장 큰 사기행각이라고 보도한 바 있다. 그 대표적인 사례가 국내 암호화폐 거래소 유빗(옛 야피존) 해킹사건이다. 북한은 지난해 4월 유빗에서 55억원 어치의 비트코인을 훔쳐갔고 이어 12월에는 이 거래소 전체 자산의 17%를 해킹했다. 결국 유빗은 파산절차에 들어갔다. 북한은 또 지난해 6월 세계 2위의 국내 암호화폐 거래소인 빗썸에서도 3만6000명 회원정보를 몰래 가져갔다. 국정원은 빗썸 해킹에 북한이 연루된 것으로 보고 관련 수사자료를 검찰에 넘겼다. 9월에는 국내 거래소 코인이즈가 21억원 상당의 암호화폐를 북한에 연루된 해커에게 도난당했다. 지난해 3분기에 확인된 북한 추정 국내 사이버 공격 30건 가운데 7건이 암호화폐와 관련됐다.
그런가 하면 지난 1월에는 암호화폐 모네로의 채굴을 지시하고 채굴된 모네로를 북한의 김일성대학 서버로 송금하도록 설계된 악성코드가 발견됐다. 월스트리트저널에 보도된 이 악성코드의 서버 암호는 김정은의 약자로 추정되는 ‘KJU’였다. 북한의 암호화폐 확보는 여기에 그치지 않는다. 북한은 인도에서 암호화폐 탈취 연습을 했다고 한다.(NYT 2017년 10월) 특히 북한 해커는 인도와 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아 등지에서 활동하고 있다.
정보당국 관계자는 북한이 지금까지 비트코인 등 암호화폐 해킹 등으로 벌어들인 돈이 10조원 이상으로 추정했다. 이 관계자에 따르면 최근엔 북한이 암호화폐 탈취 등으로 취득한 외화가 북한 전체 외화벌이의 25%라고 한다. 암호화폐가 북한의 가장 큰 외화 획득 파이프라인이라는 것이다. 이 암호화폐는 주로 러시아에서 현금화되고 있다고 한다. 이 때문에 미 뉴욕주 재정서비스국(DFS)이 최근 우리은행 등 국내 6개 은행의 뉴욕지점에 공문을 보내 한국의 암호화폐 거래실태와 금융당국의 가상통화와 관련된 자금세탁방지 이행검사에 대한 보고를 요구했다. 이는 한국 내에서 북한의 암호화폐 자금세탁을 방지하기 위한 조치라고 한다.
국제사회는 암호화폐 탈취와 사이버 은행강도, 악성코드로 자료를 암호화해 풀어주는 대가로 돈을 가로채는 북한의 해킹집단을 라자루스(Lazarus)로 보고 있다. 그런데 이 라자루스는 북한 정찰총국의 지휘를 받고 있다는 게 정설이다. 북한은 이를 부인하고 있다. 그러나 라자루스가 사용하는 악성코드가 북한 소행으로 드러난 소니 픽처스 해킹사건에 사용된 악성코드나 북한이 만든 워너 크라이와 유사하다. 이런 점 때문에 국제사회는 라자루스가 북한 조직이라고 판단하는 것이다. 북한은 7000명의 사이버 전력을 갖고 있는데 이 가운데 1000명 정도가 전문 해커다. 북한은 또 대학에 암호화폐를 정식과목으로 개설하고 평양과학기술대학에서는 아예 비트코인을 가르친다고 한다.
다시 거액의 암호화폐를 도둑맞은 코인체크로 돌아가 보자. 코인체크는 고객의 정보가 든 전자지갑을 인터넷과 연결된 채로 느슨하게 관리했다. 일반적으로는 전자지갑은 인터넷과 분리한 상태로 보관하는 게 원칙이다. 고려대 임종인 정보보호대학원장에 따르면 해커들이 26만명 고객의 암호화폐를 불과 수십 분 만에 탈취해가려면 치밀한 준비작업이 있어야 한다는 것이다. 적어도 6개월 전부터 사전공작에 들어갔을 것이라고 본다. 사전공작 과정은 ①코인체크의 네트워크에 침입해 서버의 구조를 확인 ②이어 관리자들의 아이디와 패스워드를 탈취해 접속을 쉽게 할 수 있도록 여건을 조성 ③해킹 수단(악성코드)을 만들어 시험 ④다시 거래소 서버에 들어가 전자지갑 등 고객의 데이터베이스를 확보하는 것이다. 이런 조치가 끝나면 ⑤작전 개시일을 정해 순식간에 고객의 암호화폐를 탈취범의 계좌로 옮긴 뒤 ⑥마지막으로 해킹한 흔적까지 지워버리는 순서다.
이처럼 여러단계의 작업을 비밀리에 정교하게 추진하기 위해서는 20∼30명의 정예 사이버 전사들이 동원돼야 한다는 것이다. 또한 해킹 거점도 해외에 여러 곳으로 분산시켜 수사의 추적을 피해 장소를 수시로 옮겨 다녀야 한다. 따라서 코인체크의 암호화폐 탈취사건을 기획하고 시행하려면 단순한 개인적인 조직으로는 불가능하다는 게 손영동 전 국가보안기술연구소장의 얘기다. 정부 수준의 해킹그룹이 지원하고 작전에 동원돼야 가능하다는 것이다. 이번 일본의 암호화폐 탈취로 국제 암호화폐 시장이 술렁대고 있다. 국내 거래소에선 북한 소행이라는 말도 나온다. 아직 수사 중이지만 이 사건이 북한과 연계된 정황이 드러나거나 설사 그렇지 않더라도 북한의 사이버 해킹에 대한 국제적인 경계심은 더욱 커질 것이다.
김민석 군사안보연구소장 겸 논설위원
