북한이 올해 탈취한 가상자산 규모가 약 3조 원에 달한 것으로 드러나면서, 국가 차원의 사이버 위협이 다시 주목받고 있다. 특히 공격 횟수는 줄었지만 피해 금액은 더 커졌고, AI 기반 추적기술이 북한 해커의 흔적을 좇는 주요 수단으로 부상하고 있다.

글로벌 블록체인 데이터 분석 기업 체이널리시스에 따르면, 북한 연계 해커 조직은 2025년 한 해 동안 최소 20억 2천만 달러(약 3조 원)에 상당하는 가상자산을 탈취했다. 이는 전년도 대비 51%나 증가한 것으로, 공격 기법이 정교해진 것이 주된 요인이다. 탈취된 자금 가운데 북한이 차지하는 비율은 전체 암호화폐 해킹 피해의 약 60%에 이른다.

북한 해커들은 과거처럼 무차별적으로 공격하기보다는 소수의 고가치를 지닌 대상에 집중하는 전략으로 전환했다. 중앙화된 거래소나 투명성이 약한 브리지(가상자산 간 연결을 돕는 플랫폼) 등을 장기간 정찰한 뒤, 단발 공격으로 대규모 자금을 빼내는 방식이다. 이후에는 이 자금을 잘게 쪼개 수천 개의 지갑 주소를 거쳐 분산시키는데, 이 과정을 소위 ‘필 체인(Peel Chain)’이라고 부른다. 이는 자금을 양파껍질 벗기듯 반복적으로 소액 분할 송금해 자금 출처를 숨기는 세탁 기법이다.

흥미로운 점은 AI 기술이 이처럼 복잡하게 위장된 자금 흐름 속에서도 일정한 ‘행동 패턴’을 감지하고 있다는 사실이다. 인공지능은 흔적이 남지 않도록 설계된 개별 거래보다는 시간, 빈도, 이동 구조, 송금방식 등 수십 가지 요소를 조합해 특정 집단의 ‘행동 서명’을 학습한다. 예컨대 수개월간 잠복하다 특정시점에 일제히 송금되거나, 거래액이 일정하게 분할되는 등의 특징이 반복되면 북한 연계 조직일 가능성이 높다는 분석이다.

기존 금융권의 자금세탁방지 시스템이 일정 금액 이상만 포착하는 구조였던 데 반해, AI는 오히려 과도하게 규칙적인 소액 분할이 의심스러운 정황으로 판별한다고 전문가들은 말한다. 단일 송금보다 반복적인 소규모 거래가 더 명확한 ‘지문’을 남긴다는 것이다. 이는 북한 해커들의 치밀한 계산이 오히려 AI 앞에서는 약점으로 드러났음을 의미한다.

가상자산 해킹은 단순한 금전 피해를 넘어서 안보 위기로 이어질 수 있다는 점에서 국제 사회의 관심도 커지고 있다. 미국 재무부와 유엔 대북제재위원회는 북한의 사이버 범죄 수익이 사실상 핵무기와 탄도미사일 개발 자금으로 활용되고 있다고 경고하고 있다. 결국 AI가 가상자산 감시의 핵심 도구로 부상하면서, 향후 사이버 안보 영역에서 디지털 기술의 역할은 더욱 중요해질 것으로 보인다.