n번방 조주빈이 사용한 모네로는 김정은의 핵 개발 자금 마련 통로

[충만]

북한 암호화폐 해킹

對北제재, 코로나19로 돈줄 마른 김정은 ‘모네로’ 해킹으로 비자금 조성

⊙ 2019년 美北 정상회담 결렬 직후 北의 모네로 채굴량 10배 이상 증가

⊙ 모네로 등 다크코인 해킹으로 비자금 모으는 김정은

⊙ 해킹으로 얻은 비트코인 수익→비트코인 믹서로 세탁→모네로로 환전→현금 세탁→核, 미사일 개발

⊙ 中 국경지대 北 유령회사이자 군사 해킹 작전 기지인 ‘조선 엑스포’ 박진혁 팀, 다수 국가 은행 자금 털어

⊙ “북한군 내 전문부대가 암호화폐 채굴에 관여”(유엔 보고서)… 北 정찰총국 산하 미림대학에서 천재 해커 키워

⊙ 전 세계 암흑으로 몰아넣은 코로나19를 악용, 사이버 공격 감행 중인 北

북한 김정은이 비자금 조성을 위해 암호화폐 ‘모네로’ 해킹에 박차를 가하는 것으로 드러났다. 이 같은 사실은 유엔 안전보장이사회(안보리) 산하 대북제재위원회 전문가 패널 보고서, 미국의 사이버 보안업체 ‘레코디드 퓨처(Recorded Future)’ 보고서 등을 통해 확인됐다. 모네로는 성(性) 착취물 유포 텔레그램 ‘박사방’ 운영자 조주빈이 회원들에게 입장권 명목으로 현금 대신 받은 암호화폐다.

김정은과 조주빈의 공통점이 하나 더 있는데, 텔레그램을 활용한 것이다. 김정은의 북한 해커팀은 텔레그램에 개설한 가짜 계정과 홈페이지 등을 통해 위장한 신분으로 싱가포르 암호화폐 거래소 ‘드래곤엑스(DragonEx)’ 고위 경영진에게 접근했다. 이후 경영진에게 악성 프로그램 설치를 유도해 드래곤엑스 계정 정보와 개인 비밀번호를 빼돌리는 수법으로 암호화폐를 갈취했다. 조주빈은 텔레그램 내에서 성 착취 동영상을 유포한 ‘박사방’을 운영했다.

인간의 탈을 쓴 악마들이 ‘모네로’에 열광하는 이유

김정은, 조주빈 같은 인간의 탈을 쓴 ‘악마류’들이 ‘모네로’에 열광하는 이유는 다크코인이기 때문이다. 지난 3월 25일 오전 텔레그램에서 성착취 범죄를 저지른 ‘박사’ 조주빈이 검찰에 송치되기 위해 서울 종로경찰서를 나서고 있다.

김정은, 조주빈 같은 인간의 탈을 쓴 ‘악마류’들이 ‘모네로’에 열광하는 이유는 다크코인이기 때문이다. 모네로는 익명성과 보안등급이 높아 거래 추적이 어렵다. 전 세계의 마약류 거래나 사이버 범죄자들 사이에서 결제수단으로 사용되는 부작용이 나타나는 이유다.

모네로는 에스페란토어(국제 공용 가상어)로 ‘동전’이라는 의미가 있다. 2014년 4월에 개발됐다. 모네로의 핵심 개발자는 리카르도 스파그니(Riccardo Spagni)다. 그는 2012년부터 암호해독에 관련한 다양한 프로젝트에 참여했다. 남아프리카공화국 출신인 스파그니는 ‘fluffypony(털이 보송보송한 조랑말)’라는 아이디로 널리 알려졌다.

모네로가 익명성을 높이기 위해 도입한 기술은 크게 세 가지다.

첫째, ‘링 서명’이다. 링 서명은 블록체인에서 가져온 공개 열쇠와 사용자 개인 열쇠를 결합한 서명 방식이다. 이렇게 되면 일회용 키가 생성, 추적이 불가능한 익명 거래가 가능하다.

둘째, 수신자에게 일회용으로 제공하는 지갑인 ‘스텔스 주소’다. 이 기능을 사용하면 거래 발신자는 수신자를 대신해 임의로 일회성 주소를 생성할 수 있게 된다. 따라서 모네로상에서 이체한 거래는 수신자의 공개 주소가 아닌 스텔스 주소로 전송, 익명을 보장받는다.

셋째, 2017년 9월 하드포크(업데이트)로 추가된 기술로 ‘링 기밀 거래’다. 이중·삼중의 보안기술이라고 보면 이해가 쉽다.

텔레그램을 활용하는 것도 비슷한 이유다. 북한 해커들이 암호화폐를 갈취하고 조주빈이 ‘n번방’ 같은 것을 만드는 데 사용한 텔레그램은 러시아판 페이스북이라고 불리는 소셜미디어 ‘브콘탁테(VK)’를 개발한 니콜라이-파벨 두로프 형제가 만들었다. 텔레그램은 사용자끼리 주고받은 모든 대화를 암호화해서 전송해 제3자가 감청하는 것을 막을 수 있다. 보안 기능 덕분에 전 세계에서 3억명 이상이 텔레그램을 사용한다.

하지만 강한 보안성은 양날의 검이다. 외부에 내용이 알려지지 않고 은밀하게 음란물 콘텐츠를 공유할 수 있어서다. 업계에 따르면 텔레그램은 국내뿐만이 아니라 중국, 필리핀, 싱가포르 등에서 아동 포르노그래피·도촬(당사자 동의 없이 몰래 사진을 찍는 행위) 파일 유통, 매춘 연결 등의 도구로 활용됐다. ‘사우스차이나모닝포스트(SCMP)’는 지난 1월 “중국의 매춘 소굴이 텔레그램과 위챗(중국판 카카오톡)에서 마치 패스트푸드처럼 성(性)을 팔고 있다”고 보도했다.

싱가포르의 성 평등 옹호 기관인 AWARE(Association of Women for Action and Research)에 따르면 디지털 기술로 인한 성폭력은 지난 2016년 46건에서 2018년 124건으로 3배 가까이 늘었다. 텔레그램 같은 메신저나 소셜미디어(SNS), 데이팅 앱 등을 통해 성범죄 피해자 영상을 유통하기가 쉬워졌기 때문이다.

비트코인, 라이트코인도 절도

북한은 모네로보다는 적은 액수지만 비트코인·라이트코인(Litecoin)도 채굴, 절도 또는 생성했다. 비트코인은 2008년 10월 나카모토 사토시라는 정체불명의 인물이 온라인에 공개한 〈비트코인: 피투피(P2P·Peer-To-Peer) 전자화폐 시스템〉이라는 논문에서 태동했다. P2P는 인터넷으로 연결된 피어(참여자)끼리, 곧 개인과 개인 사이에 직접 거래하는 방식을 뜻한다. P2P 네트워크에서 사용되는 전자화폐가 비트코인이다. 2009년 1월 나카모토가 처음 만들어낸 비트코인은 누구나 발행하고 사용할 수 있는, 암호화된 화폐다. 정부가 발권하고 금융기관이 관리하는 화폐가 아니라는 의미에서 비트코인은 역사상 최초로 분산화(decentralized)된 돈인 셈이다. 나카모토는 이런 분산화폐를 만든 이유로 공공기관의 정보 독점 체제를 꼽았다.

라이트코인은 구글 엔지니어와 코인베이스 근무 경력을 가진 찰리 리(Charlie Lee)가 2011년 개발한 은색의 암호화폐다. 라이트코인은 비트코인의 파생 화폐로 볼 수 있다. 블록체인에 기반해 채굴되고, 매장량이 한정돼 있다는 점도 같다.

비트코인이 데이터를 분산해 ‘저장’하는 데 초점이 맞춰져 있다면, 라이트코인은 ‘결제 기능’에 특화돼 있다. 또 비트코인보다 갱신 속도가 빠르고 총매장량이 4배(8400만 개) 많다는 차이도 있다.

北, 최소 2017년 8월부터 모네로 사용

북한 공작원들은 최소 2017년 8월부터 모네로를 사용해왔다. 당시 북한은 ‘워너크라이(WannaCry)’ 공격을 통해 얻은 비트코인 수익을 비트코인 믹서(Bitcoin Mixer)로 세탁한 후 모네로로 최종 환전했다.

북한 공작원들은 최소 2017년 8월부터 모네로를 사용해왔다. 당시 북한은 ‘워너크라이(WannaCry)’ 공격을 통해 얻은 비트코인 수익을 비트코인 믹서(Bitcoin Mixer)로 세탁한 후 모네로로 최종 환전했다.

워너크라이는 랜섬웨어(ransomware) 공격 기법의 하나다. 랜섬웨어는, ‘몸값’을 뜻하는 랜섬(ransom)과 ‘제품’을 뜻하는 웨어(ware)의 합성어다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤, 금품을 요구하는 ‘악성 프로그램’을 뜻한다. 워너크라이는 컴퓨터가 인터넷에 연결만 되어 있어도 감염되는 신종 기법이었다. 비트코인 믹서는 거래 명세를 숨기는 것을 뜻한다.

북한은 2017년 5월 위너크라이 공격으로 150개국에 걸쳐 컴퓨터 30만 대 이상을 감염시켰다. 악성코드 설치 프로그램 파일 이름이 ‘intelservice.exe’로 설정돼 컴퓨터 사용자가 인텔 소프트웨어로 착각하도록 만들어져 피해가 더욱 컸다. 당시 랜섬웨어 ‘워너크라이’ 공격이 중국어를 사용하는 해커들의 소행일 수 있다는 분석도 나왔지만, 유엔 자료 등에 따르면 배후는 북한이다.

北, 2019 美北 정상회담 결렬 직후 모네로 채굴량 10배 이상 늘려

북한은 2019년 2월 하노이에서 열린 미북 정상회담이 결렬되자 해킹 등을 이용한 모네로 채굴량을 10배 이상 늘렸다. 김정은은 미북 정상회담을 통해 실상 대외 전시용 시설에 불과한 영변 핵시설을 폐기하는 부분적 핵 능력 감축의 대가로 대북제재 대부분을 해제하려 했다. 하지만 도널드 트럼프 미국 대통령이 비밀 우라늄 농축시설들의 폐기를 주장하는 입장을 고수하면서 협상이 결렬되자, 암호화폐 해킹을 통해 비자금 마련에 나선 것이다.

북한은 암호화폐 해킹을 위해 ‘크립토재킹(Cryptojacking)’ 기법을 사용한다. 크립토재킹은 암호화폐 시세가 오를 때 사용자 PC에 몰래 설치한 채굴 프로그램을 이용, 이득을 편취하는 것을 말한다.

이런 식이다. 워너크라이 같은 공격으로 피해자들을 속여 암호화폐 관련 악성 소프트웨어를 설치하게 한다. 이 프로그램은 아무도 모르게 사용자의 컴퓨터를 이용해 암호화폐를 채굴한다.

미국 사이버 보안업체 ‘에일리언볼트(AlienVault)’ 관계자의 이야기다.

“북한이 개발한 악성코드에 감염된 컴퓨터는 모네로를 채굴하게 되고, 자동으로 채굴된 모네로를 북한 김일성대학 서버 도메인으로 보낸다. 북한 해커는 채굴된 모네로를 사용하기 위해 ‘KJU’라는 암호를 사용했다. 이는 북한 김정은의 이니셜일 것으로 추측되고 있다.”

북한은 암호화폐 해킹을 시도하면서 특히 한국의 사용자를 표적으로 삼았다. 유엔 대북제재위가 전문가 보고서에서 밝힌 바로는 북한은 2015년 말부터 2019년 5월까지 국제 해킹으로 20억 달러(2조4400억원)를 탈취했으며, 그중 한국이 10건의 피해를 봤다. 한국의 전체 피해 규모는 공개되지 않았지만, 해킹을 당한 17개국 중 한국이 최다 피해국이라고 한다. 피해액만 수억 달러일 것으로 추정된다.

유엔 보고서 등에 따르면 북한이 암호화폐 해킹을 통해 그동안 벌어들인 외화수입은 100억 달러에 이르는 것으로 파악됐다. 한화로 12조원이 넘는 막대한 금액이다. 한미 정보 당국은 북한 해커들의 암호화폐 탈취 관련 정보와 돈의 흐름을 추적해 최근 이 같은 잠정 결론을 내린 것으로 알려졌다. 북한은 불법 암호화폐 자금을 무역을 통한 자금세탁 등에 사용하고 있다. 실제 미국 법무부는 최근 북한 국경을 넘다 적발된 중국인 두 명을 총 1억 달러 규모의 암호화폐 자금세탁 혐의로 기소한 바 있다.

프리실라 모리우치 하버드 케네디스쿨 선임연구원은 “여러 정황으로 비추어볼 때 북한은 각종 무역 거래에 암호화폐를 이용하는 게 거의 확실하다”고 했다.

정찰총국 산하 미림대학에서 천재 해커 키워

AP통신은 북한의 암호화폐 해킹에 주목하며 열악한 IT(정보통신) 환경에서 이런 일을 벌인다는 건 놀라운 일이라고 보도했다. AP통신은 전문가의 입을 빌려 “북한 해커들의 실력을 평가절하하는 이들도 있지만, 그건 오판”이라면서 “북한의 해킹 행위를 추적하는 사람들은 그 실력에 경외감을 품을 정도”라고 소개했다.

2019년 8월 유엔 전문가 패널의 중간보고서를 보면 한 회원국은 “북한군 내 전문부대가 암호화폐 채굴에 관여하고 있다”고 밝혔다. 북한은 정찰총국 통제 아래 ‘라자루스’ ‘블루노로프’ ‘안다리엘’의 3개 해킹조직을 운영한다. 라자루스는 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2019년 3월 싱가포르 암호화폐거래소 해킹 등에 연루됐으며, 하부 그룹으로 ‘블루노로프’와 ‘안다리엘’을 두고 있다.

김정은의 아버지 김정일은 1990년대 후반 사이버 전사단인 121부대를 창설했다. 1996년 최전방 병력 시찰 자리에서 “미래 전쟁은 컴퓨터 전쟁이 될 것”이라고 말한 직후였다. 최후진국 중 하나지만 컴퓨터의 중요성은 일찌감치 인지했던 것이다.

초등학교 때부터 ‘수학·과학 도사’들을 정선해 몰아넣었다. 컴퓨터 사용에 재주가 있는 아이들은 일련의 특수학교들로 진학해 올라가게 했다. 뛰어난 학생들은 김일성대학·김책공과대학으로 보내 집중적으로 교육했다. 그러나 가장 명석한 해커들을 철저한 교육으로 육성하는 곳은 따로 있다. 해킹 특수 업무를 배우는 곳은 정찰총국 산하 모란봉대학과 인민군 소속 미림대학(현 김일군사대학)이다. 두 곳 모두 사이버전 지휘관·전사 양성에만 몰두하는 특수 기관들이다. 북한이 운용하는 전문 해커는 1700여 명, 지원 인력은 5000명 이상인 것으로 추정된다. 김정은 제거를 위한 참수(斬首) 공격을 감행할 것인지를 파악하는 것을 가장 엄중한 해킹 과업으로 삼고 있다 한다.

김정일이 물려준 비자금 바닥

김정은이 암호화폐 해킹, 채굴을 통한 비자금 마련에 목을 매는 이유는 뻔하다. 국제사회의 대북제재로 돈줄이 마르고 있기 때문이다. 김정은은 김정일로부터 통치 자금 40억~50억 달러(약 3조8000억~5조6300억원)를 물려받았다. 그는 이 돈으로 핵과 미사일을 개발하고, 고급 승용차, 요트, 주류, 명품 의류·장신구, 고가 식자재 등을 사들여 부하들의 충성도에 따라 살포했다. 또 평양 여명 거리와 마식령 스키장 등 각종 건설사업과 현지 지도에서 비자금을 통 크게 사용했다. 김정일의 연간 외화 지출 규모가 3억 달러였던 데 반해 김정은은 두 배가량인 6억 달러 정도를 썼다. 이런 상황에서 대북제재와 코로나19로 돈줄이 끊길 위기에 직면했으니 사이버 금전 탈취에 ‘올인’할 수밖에 없다.

실제 북한은 대북제재와 ‘코로나19’ 장기화로 평양 시민에게 3개월간 배급을 주지 못하고 일부 대도시에서도 아사자가 나오는 등 최악의 경제 상황에 직면한 것으로 알려졌다. 북한 내부에서는 ‘제2 고난의 행군’이라는 이야기까지 나온다고 한다. 일부 주민 사이에서는 “꼭 핵을 만들어 제재를 받아야 하나”라는 불만까지 나오는 것으로 전해졌다. 대북 소식통은 “황해도에서 공급되던 수도미(평양시에 공급하는 식량) 재고가 떨어지고 올해 초 북중(北中) 무역이 중단되면서 지난 4월부터 평양 시민에게 3개월간 배급을 주지 못하는 형편”이라고 전했다. 또 평양에서는 6월 초부터 코로나19가 다시 확산하면서 시장이 폐쇄되고 주민들의 이동이 통제되는 것으로 전해졌다.

전문가들은 북한이 남북공동연락소 폭파 등 대남(對南) 도발에 나선 배경에는 ‘평양 엘리트 민심’까지 흔들릴 정도의 경제난으로 내부 동요가 커지자 상황 악화의 책임을 한국에 돌리기 위한 것으로 분석했다.

코로나19를 악용하는 北 해커

북한의 해커 조직은 ‘코로나19’가 자신들은 물론 전 세계를 암흑 속으로 몰아넣은 현 상황을 악용, 사이버 공격을 감행 중이다. 세계 곳곳의 정부가 최근 코로나 팬데믹(대유행) 국면에서 경기부양책의 하나로 코로나 지원금을 지급하는 상황을 노린 것이다.

싱가포르에 본부를 둔 민간 사이버 보안업체 ‘사이퍼마(Cyfirma)’의 〈북한 라자루스(Lazarus) 조직의 전 세계 코로나19 피싱 캠페인〉이라는 제목의 보고서를 보면, 북한 정찰총국 산하 해킹조직인 라자루스는 최근 코로나 사태를 이용해 “코로나 정부 지원금을 주겠다”며 악성코드를 심은 이메일을 보내는 방식으로 돈이나 정보를 빼돌리고 있다.

북한 해커들은 정부 기관을 사칭해 코로나 지원금 관련 내용을 미끼로 넣은 뒤 피싱 사이트 링크를 이메일로 보냈다. 피해자가 마치 정부 기관이 보낸 메일로 착각해 피싱 사이트에 비밀번호 등 개인정보를 입력하도록 했다.

보고서는 “라자루스가 지난 6월 1~16일 미국과 한국, 일본, 영국, 인도, 싱가포르 등 6개국에서 개인, 기업 등 약 500만명을 대상으로 ‘코로나 지원금을 주겠다’는 메일을 보낸 뒤 악성코드와 피싱 사이트 링크를 심었다”며 “이는 조직적인 사이버 공격을 감행한 것”이라고 했다.

보고서는 해커들이 한국과 미국의 정부 기관으로 속여 만든 가짜 계정으로 보낸 이메일 내용도 공개했다. 한국 이메일 계정 약 70만 개에 긴급재난지원금 100만원을, 미국 이메일 계정 약 140만 개에 1000달러를 주겠다는 ‘미끼’ 정보가 들어 있었다.

미국의 사이버 보안기업 ‘리버싱랩스(ReversingLabs)’는 북한의 또 다른 해커 조직인 ‘히든 코브라(Hidden Cobra)’를 분석한 〈탈피에서 독사 둥지까지〉라는 제목의 보고서를 발표했는데 여기에는 “히든 코브라가 정부 기관을 사칭하면서 실제와 유사한 가짜 웹사이트로 위장해 한국과 미국 등의 공공기관을 노린 사이버 공격을 늘리고 있다”는 내용이 담겼다.

‘조선 엑스포’ 소속 北 공작원 박진혁

미국 법무부는 2014년 소니픽처스 해킹과 2016년 8100만 달러를 빼내간 방글라데시 중앙은행 해킹, 지난해 워너크라이 랜섬웨어 공격 등을 자행한 혐의로 북한 프로그래머이자 해커인 ‘박진혁’이라는 인물을 기소했다고 밝혔다.

북한의 제재를 피해 수익을 창출하기 위한 모델은 암호화폐·블록체인 기술의 이용 및 악용 외에도 ‘인터넷을 이용한 은행 절도(bank theft)’ ‘해외파견 공작원을 통한 작전’이 더 있다.

우선 금융기관 공격이라 불리는 ‘인터넷을 이용한 은행 절도’부터 살펴보자. 북한 공작원들은 먼저 SWIFT(Society for Worldwide Interbank Financial Telecommunication·국제은행 간 금융통신협회) 단말에 접속한 후 일련의 부정 거래를 수행했다.

SWIFT는 금융거래 관련 메시지를 안전하고 효율적으로 주고받기 위해 유럽 지역 은행들이 1973년 5월 브뤼셀에 설립한 금융통신망이다. 이런 거래를 통해 피해자 은행에서 가짜 계좌로 자금을 송금하고 북한 공작원들이 이를 바로 현금으로 인출했다. 북한 공작원들의 SWIFT 관련 부정 거래 작전은 표적 국가의 공휴일이나 긴 주말 사이에 이뤄졌다.

북한 공작원 박진혁에 대한 미국 법무부(Department of Justice)의 2018년 9월 기소장 내용을 보면, 북한 공작원들은 흔히 북한 IP 공간을 이용해 공격 대상 웹사이트 방문, 피싱(phishing) 이메일 전송, 네트워크 정찰을 수행했다. 박진혁은 중국 국경 지대에 위치한 북한의 유령회사이자 군사 해킹 작전을 수행하는 곳으로 알려진 조선 엑스포(Chosun Expo) 소속이었다. 박진혁을 비롯한 북한 해커들은 2016년 SWIFT 지불 네트워크를 공격하여 동남아시아 여러 국가 은행들의 돈을 훔치는 데 성공했다. 이들이 동남아시아 은행들을 표적으로 삼기 시작한 것은 2014년 가을부터였다.

박진혁 등 북한 해커팀은 폴란드 은행을 공격하기도 했다. 이 공격에 사용된 이메일 주소, 페이스북 계정 및 북한 IP 주소는 공교롭게도 록히드 마틴과 같은 미국 기업 및 한국의 일부 기업들을 대상으로 한 공격에서도 사용되었던 것으로 드러났다.

‘워터링 홀’ 작전

또 북한 공작원들이 전략적 웹 침해(SWC·Strategic Web Compromise)를 통해 중앙은행이나 금융 규제 당국 웹사이트를 표적으로 삼았음을 시사하는 새로운 데이터도 존재했다. 전략적 웹 침해인 SWC는 ‘워터링 홀’이라고도 하는데, 사자가 물웅덩이에 매복해 먹잇감을 기다리듯 공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어두고 접속을 기다리는 수법을 뜻한다. 이러한 웹 침해는 이후 은행 자체에 대한 침입 시도와 은행 간 부정 거래 시도로 이어졌을 가능성이 크다.

북한은 꼭 SWC 방식으로만 공격하지 않았다. 2018년 터키 은행을 대상으로 한 최소 1건의 공격에 북한 공작원들은 ‘스피어피싱(spearphishing)’ 기법을 사용하기도 했다. 스피어피싱은 특정 기업·기관·인물을 목표로 정보를 훔치는 공격으로 일명 ‘작살형 공격’으로 통한다.

멀웨어(malware·악성 소프트웨어)를 이용한 공격을 하기도 한다. 2019년 11월 1일 ‘블룸버그 통신’은 미국의 사이버 보안업체인 파이어아이(FireEye) 발표를 인용, 중국 정부와 연계된 북한 해킹 집단이 멀웨어를 이용해 외국의 고위급 군사 및 정부 관계자들의 문자메시지를 훔치고 있다고 보도했다.

‘해외파견 공작원을 통한 작전’은 해외 시설에 거주하는 공작원과 프로그래머가 시행한다. 비디오 게임을 위조하는 게 주 업무다. 북한 해커 10여 명과 함께 중국에서 작업을 수행했던 한 탈북자는 “이런 해커 집단이 평균적으로 연간 약 10만 달러를 벌었다”며 “이 중 80%는 북한에 송금했다”고 했다. 관련 자료에 따르면 북한 공작원과 해커들은 가짜 비디오 게임과 봇을 개발하는데, 정상적인 게이머들의 귀중한 아이템을 빼앗아 되팔아 수익을 얻는다. 또 게임 내 버그를 찾아내 게임 개발사에 팔기도 한다.

이들은 한국의 온라인 카지노, 게임 이용자, 현금자동입출금기(ATM) 사용자를 표적으로 삼기도 했다. 이들의 해외 기지는 인도, 러시아, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시에 있다.

북한은 이런 제3국에서 사이버 공작원을 훈련시킬 뿐만 아니라 유엔 제재에 따라 금지된 핵 관련 지식을 교육하기도 한다. 《월스트리트 저널》은 2017년 9월 조사에서 북한 주민들이 해외, 특히 중국에서 “고급 물리학, 고급 컴퓨터 시뮬레이션 및 관련 컴퓨터과학, 원자력공학, 항공우주공학 및 관련 학문 교육 또는 훈련 등 북한의 민감한 핵 활동 확산 또는 핵무기 운반체계 개발에 기여할 수 있는” 과목을 공부한다는 사실을 확인했다.

지금 이 시각에도 北의 사이버 금전 탈취는 계속

블록체인 기술 등을 활용한 북한의 사이버 금전 탈취는 계속될 전망이다. 지금 이 시각에도 북한의 사이버공작요원들은 평양과 해외거점 데스크에 앉아 우리의 국가기관망, 금융망, 방송통신망, 교통망, 에너지망, 교육망, 사회안전망 및 민간 상용망 등을 대상으로 초(秒) 단위의 사이버 공격을 전개하고 있다. 실제 북한 및 해외로부터 한국의 국가기관망과 공공망을 대상으로 해킹을 시도하는 건수가 하루 평균 150만 건에 달한다. 1초에 18회 이상 사이버 공격을 당하는 것이다.

유동열 자유민주연구원장의 이야기다.

“북한의 사이버 금전 탈취 등 경제안보와 사이버 테러 등 안보위협이 심각한 상황인데도 우린 이에 대응할 법적 장치인 국가사이버안보기본법(가칭)조차 제정하지 못하고 있다. 특히 북한이 이른바 남북 화해 국면에서조차 우리를 대상으로 사이버 금전 탈취 등 해킹 공격을 일상화하고 있는데도 경고도 못 하고 침묵하는 정부를 보면 사이버 국부(國富) 유출과 사이버 공격으로부터 안전하고 자유로운 사이버 공간이 보장될지 의문이다.”⊙

http://m.monthly.chosun.com/client/news/viw.asp?ctcd=H&nNewsNumb=202008100010

[김민석의 Mr. 밀리터리] 핵·미사일 자금 고갈 돼 … 북한, 암호화폐 탈취에 눈 돌리나

북, 은행에서 암호화폐 털이로

일본 암호화폐 순식간에 도난

북한, 국내 암호화폐도 훔쳐가

김일성대학으로 송금 지시도

북 암호화폐로 10조원 조성

해킹그룹 라자루스 북한 소속

북한의 대남 사이버 공격이 암호화폐 거래소로 옮겨가고 있다. 일본에선 지난달 발생한 사상 최대 규모의 암호화폐 도난 사건 수사가 진행 중이다. 해커는 일본의 암호화폐 거래소 코인체크에서 20∼30분 만에 5600억원 어치의 암호화폐 넴(NEM) 523만 개를 탈취해갔다. 이 해킹은 동유럽을 경유했다는 사실만 확인되고 있다. 현재로선 누가 탈취범인지 알 수는 없지만 이를 계기로 북한의 사이버 해킹 행태를 알아본다.

북한의 사이버 공격이 지능화되면서 공격 대상도 일반기관 해킹에서 은행털이를 거쳐 암호화폐 거래소로 바뀌고 있다. 북한의 핵 개발과 미사일 발사에 따른 국제사회의 대북제재가 강화되고 중국과의 무역이 끊기면서 자금이 고갈될 지경이어서다. 그래서 북한의 눈길은 부족한 자금 확보를 위해 해외은행이나 암호화폐 거래소로 쏠리고 있는 것이다. 지난해 10월 미국 상원 군사위 청문회에서 “북한이 랜섬웨어 공격과 전 세계 은행 등을 상대로 한 사이버 공격으로 핵 프로그램에 필요한 자금을 모으고 있다”는 리처드 불루멘탈 미 상원의원의 발언이 빈말로 들리지 않는다.

북한이 개발한 ‘워너크라이’라는 랜섬웨어는 특정 사이트를 공격해 자료를 임의로 암호화시키는 악성코드다. 북한은 워너크라이로 암호화한 자료를 풀어주는 대가로 돈을 챙겼다. 해킹한 자료를 인질로 돈을 버는 수법이다. 자유민주연구원 유동열 원장은 “북한이 사이버(공격)로 벌어들인 외화를 연간 1조 원대로 추정한다”면서 “지난해 방글라데시 은행에서도 8100만 달러를 털어갔다”고 말했다. 전 세계 은행 연결망(SWIFT망) 해킹을 통한 북한의 은행털이 수법이 드러나자 미국의 요청으로 북한을 SWIFT망에서 퇴출시켰다.

그러자 북한의 관심은 자연히 암호화폐 거래소로 옮겨가는 분위기다. 암호화폐 자체는 암호 수준이 높아 거래과정에선 탈취될 가능성이 없다. 그러나 이를 보관하고 있는 거래소의 보안이 취약하다는 점을 북한이 악용하고 있다. 뉴스위크는 지난 1월 북한이 암호화폐 비트코인 거래소와 해킹전쟁을 벌이고 있는데 이는 역사상 가장 큰 사기행각이라고 보도한 바 있다. 그 대표적인 사례가 국내 암호화폐 거래소 유빗(옛 야피존) 해킹사건이다. 북한은 지난해 4월 유빗에서 55억원 어치의 비트코인을 훔쳐갔고 이어 12월에는 이 거래소 전체 자산의 17%를 해킹했다. 결국 유빗은 파산절차에 들어갔다. 북한은 또 지난해 6월 세계 2위의 국내 암호화폐 거래소인 빗썸에서도 3만6000명 회원정보를 몰래 가져갔다. 국정원은 빗썸 해킹에 북한이 연루된 것으로 보고 관련 수사자료를 검찰에 넘겼다. 9월에는 국내 거래소 코인이즈가 21억원 상당의 암호화폐를 북한에 연루된 해커에게 도난당했다. 지난해 3분기에 확인된 북한 추정 국내 사이버 공격 30건 가운데 7건이 암호화폐와 관련됐다.

그런가 하면 지난 1월에는 암호화폐 모네로의 채굴을 지시하고 채굴된 모네로를 북한의 김일성대학 서버로 송금하도록 설계된 악성코드가 발견됐다. 월스트리트저널에 보도된 이 악성코드의 서버 암호는 김정은의 약자로 추정되는 ‘KJU’였다. 북한의 암호화폐 확보는 여기에 그치지 않는다. 북한은 인도에서 암호화폐 탈취 연습을 했다고 한다.(NYT 2017년 10월) 특히 북한 해커는 인도와 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아 등지에서 활동하고 있다.

정보당국 관계자는 북한이 지금까지 비트코인 등 암호화폐 해킹 등으로 벌어들인 돈이 10조원 이상으로 추정했다. 이 관계자에 따르면 최근엔 북한이 암호화폐 탈취 등으로 취득한 외화가 북한 전체 외화벌이의 25%라고 한다. 암호화폐가 북한의 가장 큰 외화 획득 파이프라인이라는 것이다. 이 암호화폐는 주로 러시아에서 현금화되고 있다고 한다. 이 때문에 미 뉴욕주 재정서비스국(DFS)이 최근 우리은행 등 국내 6개 은행의 뉴욕지점에 공문을 보내 한국의 암호화폐 거래실태와 금융당국의 가상통화와 관련된 자금세탁방지 이행검사에 대한 보고를 요구했다. 이는 한국 내에서 북한의 암호화폐 자금세탁을 방지하기 위한 조치라고 한다.

국제사회는 암호화폐 탈취와 사이버 은행강도, 악성코드로 자료를 암호화해 풀어주는 대가로 돈을 가로채는 북한의 해킹집단을 라자루스(Lazarus)로 보고 있다. 그런데 이 라자루스는 북한 정찰총국의 지휘를 받고 있다는 게 정설이다. 북한은 이를 부인하고 있다. 그러나 라자루스가 사용하는 악성코드가 북한 소행으로 드러난 소니 픽처스 해킹사건에 사용된 악성코드나 북한이 만든 워너 크라이와 유사하다. 이런 점 때문에 국제사회는 라자루스가 북한 조직이라고 판단하는 것이다. 북한은 7000명의 사이버 전력을 갖고 있는데 이 가운데 1000명 정도가 전문 해커다. 북한은 또 대학에 암호화폐를 정식과목으로 개설하고 평양과학기술대학에서는 아예 비트코인을 가르친다고 한다.

다시 거액의 암호화폐를 도둑맞은 코인체크로 돌아가 보자. 코인체크는 고객의 정보가 든 전자지갑을 인터넷과 연결된 채로 느슨하게 관리했다. 일반적으로는 전자지갑은 인터넷과 분리한 상태로 보관하는 게 원칙이다. 고려대 임종인 정보보호대학원장에 따르면 해커들이 26만명 고객의 암호화폐를 불과 수십 분 만에 탈취해가려면 치밀한 준비작업이 있어야 한다는 것이다. 적어도 6개월 전부터 사전공작에 들어갔을 것이라고 본다. 사전공작 과정은 ①코인체크의 네트워크에 침입해 서버의 구조를 확인 ②이어 관리자들의 아이디와 패스워드를 탈취해 접속을 쉽게 할 수 있도록 여건을 조성 ③해킹 수단(악성코드)을 만들어 시험 ④다시 거래소 서버에 들어가 전자지갑 등 고객의 데이터베이스를 확보하는 것이다. 이런 조치가 끝나면 ⑤작전 개시일을 정해 순식간에 고객의 암호화폐를 탈취범의 계좌로 옮긴 뒤 ⑥마지막으로 해킹한 흔적까지 지워버리는 순서다.

이처럼 여러단계의 작업을 비밀리에 정교하게 추진하기 위해서는 20∼30명의 정예 사이버 전사들이 동원돼야 한다는 것이다. 또한 해킹 거점도 해외에 여러 곳으로 분산시켜 수사의 추적을 피해 장소를 수시로 옮겨 다녀야 한다. 따라서 코인체크의 암호화폐 탈취사건을 기획하고 시행하려면 단순한 개인적인 조직으로는 불가능하다는 게 손영동 전 국가보안기술연구소장의 얘기다. 정부 수준의 해킹그룹이 지원하고 작전에 동원돼야 가능하다는 것이다. 이번 일본의 암호화폐 탈취로 국제 암호화폐 시장이 술렁대고 있다. 국내 거래소에선 북한 소행이라는 말도 나온다. 아직 수사 중이지만 이 사건이 북한과 연계된 정황이 드러나거나 설사 그렇지 않더라도 북한의 사이버 해킹에 대한 국제적인 경계심은 더욱 커질 것이다.

김민석 군사안보연구소장 겸 논설위원

https://mnews.joins.com/amparticle/22339242