전 세계적으로 올해 가상자산 해킹 피해 규모가 최소 27억 달러에 달한 가운데, 절반 이상이 북한 해커들의 소행인 것으로 나타났다. 특히 북한은 전략적으로 중앙화된 대형 거래소를 집중적으로 공격하고, 탈취한 자금을 중국의 지하 금융망을 통해 대규모로 세탁하는 양상이 포착됐다.

이 같은 분석은 미국의 블록체인 분석업체 TRM랩스가 12월 18일 발표한 보고서를 통해 전해졌다. 보고서는 북한이 수년 전부터 가상자산 해킹을 외화 획득 수단으로 삼고 국가 차원에서 체계적으로 활용해 왔다고 지적했다. 특히 올해 들어 북한의 해킹 타깃은 상대적으로 보안이 분산된 탈중앙화금융(DeFi) 플랫폼에서 보다 많은 자산이 모여 있는 중앙화 거래소(CEX)로 완전히 옮겨간 것으로 파악됐다.

대표적인 사례로 보고서는 지난 2월 가상자산 거래소 바이비트가 당한 해킹을 꼽았다. 이 공격에서 북한은 한 번에 약 15억 달러, 우리 돈으로 2조 원이 넘는 금액을 탈취한 것으로 추산된다. 단일 사건으로도 역대 최대 규모에 해당하는 이번 해킹은 북한이 기술적 정교함과 전략적 목표를 동시에 갖춘 활동을 벌이고 있음을 보여준다.

북한 해커들은 단순한 시스템 침투를 넘어, 개발자나 내부 관계자에게 접근해 가짜 채용 제의나 투자 제안을 하면서 악성코드가 담긴 파일을 전달하는 방식을 사용한 것으로 나타났다. 이후 감염된 개발자 컴퓨터를 통해 거래소의 시스템 구조 및 자산 접근 권한을 확보한다. TRM랩스는 이를 ‘코드에서 자산까지’ 전략이라 명명하며, 개발자 단말기를 거래소 침투의 최단 경로로 활용한 점에 주목했다.

해킹으로 얻은 가상자산을 자금화하는 방식도 점차 조직화되고 있다. 과거에는 믹싱(Mixing) 서비스 등으로 자금을 분산시켜 흔적을 감추는 방법이 주를 이뤘지만, 미국 등의 강력한 제재로 이러한 수단이 제한되자, 중국 기반의 비공식 금융시스템을 활용하기 시작했다. 이른바 ‘중국 세탁소’로 불리는 이 지하 금융망에는 중국계 장외거래 중개인, 암암리에 운영되는 송금책, 현금화 담당 브로커 등이 조직적으로 연결돼 있다. 이 과정을 거친 자금은 북한 기업에 물품 대금 등으로 위장돼 들어가며, 사실상 국제 금융 제재망을 우회하는 수단으로 작동하고 있다.

전 미국 연방수사국(FBI) 요원 출신의 크리스 웡 TRM랩스 조사관은 북한의 해킹 행위가 국가 차원의 작전이며, 단순한 사이버 범죄 수준을 넘어 전략적 목표에 기반한 고도화된 활동이라며 경각심을 촉구했다. 그는 실시간 정보 공유와 글로벌 감시체계, 국가 간 협력 없이는 이러한 위협을 막기 어렵다고 강조했다.

이 같은 흐름은 앞으로도 이어질 가능성이 크다. 특히 가상자산 시장이 확대되고, 규제 간극이 존재하는 한 북한뿐 아니라 다양한 사이버 범죄 조직이 중앙화 거래소 등 취약 지대를 노릴 수 있다는 점에서 글로벌 차원의 보안 시스템 강화와 국제 공조가 더욱 절실해지고 있다.