디지털 경제의 국경이 모호해진 오늘날, 북한은 더 이상 물리적 장벽 뒤에 숨은 은둔의 왕국이 아니다. 그들은 보이지 않는 비트를 무기 삼아 전 세계 가상자산 거래소의 금고를 털어가는 디지털 해적단으로 변모했다. 2025년 2월, 두바이에 본사를 둔 세계적인 거래소 바이비트가 입은 15억 달러(약 2조 250억 원) 규모의 피해는 그 정점에 있다. 월스트리트저널은 이 사건을 보도하며 가상자산 역사상 단일 건으로는 최대 규모의 해킹이라고 지목했다. 이 거대한 해적단의 배후에는 북한 정찰총국과 연계된 것으로 알려진 라자루스(Lazarus) 그룹이 있었다. 체이널리시스의 조나단 레빈 공동창립자는 과거 한 인터뷰에서 "오픈 프로토콜은 공간을 안전하게 유지하기 위해 공개적으로 모니터링되며, 무허가 가치 이전 네트워크가 번영할 수 있도록 돕는다"고 말한 바 있다. 그의 말은 '블록체인은 모든 거래를 공개된 책에 적어두듯 누구나 확인할 수 있다. 그래서 허가 없이도 돈이 안전하게 오갈 수 있는 네트워크가 번영한다. 이 공개 모니터링이야말로 보안을 지키는 비결이다'라는 얘기다.
하지만 북한은 이러한 투명한 네트워크의 허점을 역설적으로 파고들었다.
바이비트 해킹의 기술적 메커니즘은 단순한 코드 오류를 넘어선 사회공학적 정밀함을 보여주었다. 해커들은 자산 관리 솔루션인 세이프(Safe) 개발자의 컴퓨터에 침입하여 프런트엔드 코드를 오염시켰다. 운영진이 평소처럼 콜드 월렛에서 자산을 옮기기 위해 화면의 서명 버튼을 누르는 순간, 실제로는 해커의 주소로 소유권을 넘기는 악성 자바스크립트가 작동했다. 바이비트의 벤 저우 최고경영자는 라자루스나 업계의 악질 행위자들이 제거될 때까지 우리는 멈추지 않을 것이라고 선언하며 1억 4천만 달러(약 1,890억 원)의 현상금을 내걸었지만, 이미 40만 1천 개의 이더리움은 수천 개의 주소로 흩어진 뒤였다.
디지털 트로이의 목마: 위장 취업과 사회공학적 기법의 결합
북한의 전술 변화 중 가장 위협적인 것은 IT 인력의 내부 침투다. 체이널리시스 보고서에 따르면 최근 북한은 외부 공격보다 내부망 진입을 선호한다. 그들은 링크드인(LinkedIn) 등에서 정교하게 조작된 프로필을 사용해 유망한 웹3 기업의 개발자로 취업한다. 보안 연구원 파블로 사바텔라는 가상자산 기업에 접수되는 구직 신청서의 30%에서 40%가 북한 공작원과 연계되어 있다고 경고했다. 이들은 평범한 개발자로 일하며 신뢰를 쌓은 뒤, 결정적인 순간에 백도어를 심거나 프라이빗 키를 탈취한다. 이는 고도의 보안 시스템조차 내부자의 배신 앞에서는 무력함을 보여주는 사례다.
이렇게 탈취된 자금은 체이널리시스가 식별한 45일간의 다단계 세탁 파이프라인으로 유입된다.
첫 5일간은 토네이도 캐시와 같은 믹서 서비스를 통해 자금의 출처를 흐리는 레이어링 작업이 진행된다.
이후 2주간은 노카이씨(No-KYC) 즉시 스왑 서비스와 교차 체인 브릿지를 통해 추적의 고리를 끊는다.
마지막 단계에서는 캄보디아의 후이원(Huione) 그룹과 같은 중국어 기반의 전문 자금 세탁 네트워크가 동원된다. 후이원 그룹은 2021년부터 2025년 초까지 최소 40억 달러(약 5조 4,000억 원) 규모의 불법 자금을 처리한 혐의를 받고 있다.
미 재무부의 스콧 베센트 장관은 후이원 그룹을 주요 자금 세탁 우려 대상으로 지정하며 오늘의 조치는 후이원 그룹의 통신 은행 접근을 차단하여 범죄 수익 세탁 능력을 저하시킬 것이라고 강조했다.
북한은 자금을 이동시킬 때 보통 50만 달러(약 6억 7,500만 원) 미만의 작은 단위로 쪼개는 치밀함을 보인다. 이는 거래소의 이상 거래 탐지 시스템을 피하고 수사기관의 인력을 분산시키기 위한 의도적인 전략이다. 체이널리시스의 앤드류 피어먼 국가안보 인텔리전스 총괄은 북한이 취약점을 찾는 능력과 자금 세탁 메커니즘의 정교함 덕분에 더 인내심을 갖고 대상을 물색하고 있다고 분석했다.
투명한 장부의 역습: 기술적 추적과 글로벌 공조의 성과
하지만 블록체인의 모든 기록이 영구적이라는 사실은 북한에게도 치명적인 약점이다. 체이널리시스는 10억 개 이상의 주소를 클러스터링하여 10만 개 이상의 실제 실체를 식별해내는 기술력을 보유하고 있다. 그들의 주력 도구인 리액터(Reactor)는 복잡한 트랜잭션을 시각화하여 수사관들이 자금의 흐름을 한눈에 파악할 수 있게 돕는다. 이러한 데이터는 법정에서도 강력한 증거로 채택되고 있다. 대표적인 사례가 가상자산 믹서 비트코인 포그(Bitcoin Fog) 사건이다. 로만 스털링고프는 믹서 서비스를 운영하며 4억 달러(약 5,400억 원) 이상의 불법 자금을 세탁한 혐의로 기소되었다. 재판 과정에서 피고 측 변호인은 체이널리시스의 기술이 검증되지 않은 '정크(쓰레기) 과학'이라고 주장했으나, 법정의 모스 판사는 체이널리시스의 소프트웨어가 매우 신뢰할 수 있으며 보수적인 원칙과 방법의 산물이라고 판시하며 12년 이상의 징역형을 선고했다.
글로벌 공조의 성과도 가시화되고 있다. 미국 법무부가 주도하는 스캠 센터 타격대(Scam Center Strike Force)는 2025년 한 해에만 약 4억 달러(약 5,400억 원) 규모의 자산을 동결했다. 매튜 R. 갈레오티 법무부 형사국장은 이러한 계획은 미국인들에게 매년 수십억 달러의 피해를 입히고 가상자산 생태계에 대한 신뢰를 훼손한다며 범죄자들의 불법 수익을 끝까지 추적해 회수할 것이라고 천명했다. 실제로 2022년 로닌 브릿지 해킹 사건에서는 체이널리시스의 지원 하에 탈취 자금 중 3,000만 달러(약 405억 원)를 회수하는 데 성공했는데, 이는 북한으로부터 자금을 되찾아온 최초의 사례로 기록되었다.
업계 내부의 복원력 또한 강화되고 있다. 2025년 9월 발생한 비너스 프로토콜(Venus Protocol) 공격 시도는 보안 모니터링 플랫폼 헥사게이트(Hexagate)와의 협업 덕분에 피해를 최소화할 수 있었다. 공격이 시작되기 18시간 전에 이상 징후를 감지했고, 실제 공격 발생 후 단 7시간 만에 공격자의 지갑을 강제 청산하여 자금을 100% 회수했다. 이는 초기 데파이(DeFi) 시대에 해킹이 곧 영구적인 손실을 의미했던 것과는 대조적인 변화다.
결국 이 전쟁은 기술과 기술, 그리고 인간의 취약성을 둘러싼 끝없는 공방전이다. 북한은 이제 생성형 AI를 활용해 완벽한 피싱 메일을 쓰고 딥페이크 기술로 영상 면접까지 통과하며 방어망을 흔들고 있다. 하지만 체이널리시스의 데이터 아키텍처는 매 순간 발생하는 수억 건의 거래를 분석하며 디지털 범죄자들의 발자국을 기록하고 있다. 블록체인 상에 남겨진 영구적인 흔적은 범죄자들이 그늘 속에 영원히 숨을 수 없음을 경고한다. 북한의 해킹 전략이 고도화될수록 이를 추적하는 온체인 인텔리전스의 칼날 역시 더욱 날카로워질 것이며, 이는 디지털 금융의 신뢰를 지키기 위한 최후의 보루가 될 것이다. 가상자산이라는 새로운 대양에서 벌어지는 이 소리 없는 전쟁은 블록체인의 투명성이 범죄자들에게는 감옥이 되고, 수사기관에게는 지도가 되는 시대를 열어가고 있다. 가상자산 도난액이 2025년 말 510억 달러(약 68조 8,500억 원)에 달할 것이라는 비관적인 전망 속에서도, 투명한 장부를 기반으로 한 기술적 추격전은 멈추지 않을 것이다.
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
