북한, 2024년 이후 암호화폐 3조 9,337억 원 규모 탈취…세탁은 中·러·캄보디아에서 수행

2024년부터 올해 9월까지 북한 해커들이 약 20억 3,700만 달러(약 2조 8,313억 원)에 달하는 암호화폐를 탈취한 것으로 드러났다. 이는 북한의 연간 외화 수입의 3분의 1에 해당하는 수준이다. 북핵 제재 회피를 추적하는 ‘다자간 제재 감시팀(MSMT)’이 발표한 보고서에 따르면, 올해 들어 북한 해킹 활동은 더욱 증가해 9개월간 11억 8,000만 달러(약 1조 6,432억 원)가 탈취됐으며, 이는 전년도 대비 50%나 급증한 수치다.

금년 도난액의 대부분은 2월 발생한 바이빗 해킹 사건에서 비롯됐다. 해당 공격은 ‘트레이더트레이터(TraderTraitor)’로 알려진 해킹 그룹의 소행으로, 이 그룹은 제이드슬릿(Jade Sleet) 혹은 UNC4899이라는 이름으로도 활동 중이다. 해커들은 바이빗 측에 다중서명 지갑 솔루션을 제공하던 세이프월렛(SafeWallet)을 노렸으며, 피싱 이메일과 악성코드를 이용해 내부 시스템에 침투한 후, 외부 출금을 내부 간 이체로 위장해 콜드 월렛의 스마트 컨트롤을 탈취했다.

보고서에 따르면 북한은 거래소 자체보다는 제3자 제공업체를 주요 공격 대상으로 삼고 있다. 트레이더트레이터 외에도 크립토코어(CryptoCore), 시트린슬릿(Citrine Sleet)과 같은 조직이 소프트웨어 공급망에 대한 전문지식을 바탕으로 개발자 사칭, 신원 도용 등의 수법을 활용해 공격을 벌였다. 예컨대 웹3 프로젝트인 먼처블스(Munchables)는 지난해 6,300만 달러(약 876억 원) 상당의 자산을 탈취당한 바 있으나, 자금 세탁 과정상의 문제로 인해 해당 해커가 자금을 반환하기도 했다.

이에 더해, MSMT는 북한 해커들이 가상화폐를 현금화하기 위해 9단계의 정교한 세탁 프로세스를 운용한다고 경고했다. 도난 자산은 먼저 이더리움(ETH)으로 교환돼 믹싱 서비스인 토네이도 캐시(Tornado Cash)나 와사비 월렛(Wasabi Wallet)을 거쳐 익명성이 확보된다. 이후, 브리지를 통해 비트코인(BTC)으로 변환된 다음, 다시 믹싱, 콜드 월렛 저장, 트론(TRX) 교환, 그리고 테더(USDT)로 전환된다. 최종적으로는 OTC 브로커를 통해 현금화된다.

자금 세탁에는 중국, 러시아, 캄보디아의 브로커 및 기업들이 관여된 것으로 밝혀졌다. 중국 선전에 위치한 체인엘리먼트네트워크기술의 예딘룽(Ye Dinrong)과 탄융즈(Tan Yongzhi), 그리고 트레이더 왕이총(Wang Yicong)은 탈취 자산 유통과 가짜 신분 생성에 동원됐다. 러시아에서도 약 6,000만 달러(약 834억 원) 이상이 OTC 브로커를 통해 환수됐으며, 캄보디아의 후이원페이(Huione Pay) 플랫폼도 중앙은행의 라이선스가 만료된 상태에서 불법적으로 활용됐다.

MSMT는 북한 해커들이 2010년대부터 러시아어권 사이버 범죄 조직과 꾸준히 협력해왔다고 분석했다. 특히 2025년에는 문스톤슬릿(Moonstone Sleet)이라는 조직이 러시아 기반 랜섬웨어 그룹 킬린(Qilin)으로부터 공격 도구를 임대한 사례도 있었다.

이에 대해 MSMT를 구성한 11개국은 대북제재 이행 강화를 위해 유엔 안전보장이사회에 ‘전문가패널’을 해체 이전 수준으로 즉각 복원할 것을 공동 성명으로 요청했다. 아울러, 각국의 유엔 회원국들이 북한발 사이버 위협에 대한 인식 제고에 나설 필요성을 거듭 강조했다.