[이코노미스트 박세진 기자] 올해 전 세계에서 가상자산(코인) 해킹으로 최소 27억달러(약 3조9900억원)가 유출됐고, 이 가운데 절반 이상이 북한 소행으로 추정된다는 분석이 나왔다.

북한은 한 번의 공격으로 거액을 빼낼 수 있는 중앙화 거래소(CEX)를 주된 표적으로 삼는 동시에, 탈취 자금을 중국의 지하 금융망을 통해 대규모로 세탁하는 방식으로 자금화하고 있는 것으로 나타났다.

블록체인 리서치업체 TRM랩스는 18일 공개한 보고서에서 북한이 무기 개발과 외화 확보 등을 위해 국가 차원에서 가상자산 해킹을 지속적으로 활용해 왔다며 이같이 밝혔다.

보고서에 따르면 북한의 공격 초점은 과거 소규모 탈중앙화금융(DeFi) 서비스에서 대형 중앙화 거래소로 사실상 이동했다.

대표 사례로는 지난 2월 발생한 가상자산 거래소 바이비트(Bybit) 해킹 사건이 거론됐다. TRM랩스는 이 사건 한 건으로 북한이 약 15억달러(약 2조2100억원)를 탈취한 것으로 분석했다.

침투 방식도 고도화됐다. 해커들이 공격 대상 기업의 개발자 등에게 가짜 채용이나 투자 제안을 내세운 뒤 악성코드가 담긴 파일을 보내 시스템에 접근하는 수법을 쓴다는 설명이다. TRM랩스는 이른바 ‘코드에서 자산까지(Code to Custody)’ 전략이 개발자 환경을 거래소 자산으로 연결하는 가장 효율적인 경로가 되고 있다고 진단했다.

탈취 자금의 세탁 방식 역시 변화를 보였다. 과거에는 자금을 쪼개 섞는 믹싱(Mixing) 서비스 의존도가 높았지만, 미국의 제재로 관련 경로가 차단되자 ‘중국 세탁소’(Chinese Laundromat)로 불리는 지하 금융망을 활용하기 시작했다는 것이다.

보고서는 북한이 훔친 가상자산을 쪼개 여러 블록체인 네트워크로 옮긴 뒤, 중국계 지하 은행가와 장외 중개인(OTC), 송금책 등으로 구성된 돈세탁 네트워크에 넘겨 현금화한다고 설명했다.

이 과정에서 자금이 물품 대금 등 명목으로 북한 기업에 유입되는 사례도 있다고 덧붙였다. TRM랩스는 서방의 제재에도 북한의 대규모 자금 세탁이 유지되는 배경으로 중국의 산업화된 돈세탁 네트워크를 지목했다.

전직 미국 연방수사국(FBI) 요원인 TRM랩스의 크리스 웡 조사관은 “북한의 해킹은 전략적 목표를 가진 고도로 전문화된 작전”이라며 “실시간 정보 수집과 혁신적인 네트워크, 국경 간 협력이 필요하다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지