|
블록체인 분석업체 TRM랩스가 18일(현지시간) 공개한 보고서에 따르면 북한은 최근 공격 대상을 소규모 탈중앙화금융 서비스에서 대형 중앙화 거래소로 전환했다. 한 번의 침투로 거액을 확보할 수 있는 구조를 노린 것이다. 실제로 지난 2월 발생한 가상자산 거래소 바이비트 해킹 사건에서만 약 15억 달러가 탈취된 것으로 분석됐다.
공격 수법 역시 한층 정교해졌다. 북한 해커들은 거래소나 블록체인 기업 개발자를 상대로 가짜 채용이나 투자 제안을 내세워 접근한 뒤 악성코드가 담긴 파일을 전달하는 방식으로 시스템에 침투하고 있다. TRM랩스는 이를 ‘코드에서 자산까지’ 전략으로 규정하며 개발자 환경이 거래소 자산에 접근하는 가장 효율적인 경로가 되고 있다고 평가했다.
탈취 자금을 처리하는 방식도 바뀌고 있다. 과거에는 자금을 여러 차례 쪼개 섞는 믹싱(Mixing) 서비스에 의존했지만 미국의 제재로 해당 경로가 차단되자 새로운 수법을 택했다. 현재는 이른바 ‘중국 세탁소’로 불리는 지하 금융망을 통해 대규모 자금 세탁이 이뤄지고 있는 것으로 분석된다.
북한은 가상자산을 여러 블록체인 네트워크로 분산 이동시킨 뒤 중국계 지하 은행가와 장외 중개인 송금책 등으로 구성된 네트워크에 넘겨 현금화하고 있다. 이렇게 세탁된 자금은 북한 기업의 물품 대금이나 무역 거래 명목으로 다시 유입되는 구조다. TRM랩스는 서방의 강도 높은 제재에도 불구하고 북한의 자금 세탁 규모가 유지되는 배경으로 중국의 조직화된 지하 금융망을 지목했다.
전직 미 연방수사국 요원 출신인 TRM랩스의 크리스 웡 조사관은 북한의 가상자산 해킹을 단순 범죄가 아닌 ‘전략적 작전’으로 규정했다. 그는 “북한의 해킹 대응을 위해서는 실시간 정보 공유와 국가 간 공조 그리고 민관 협력이 동시에 이뤄져야 한다”고 강조했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
