전문가 패널 보고서 공개…대규모 해킹 사건 2건 北소행 의심

北 보이스피싱 앱과 韓국민들 정보도 판매…정유제품 불법 수입 등 여전

유엔 안전보장이사회 산하 대북제재위원회는 7일(현지시간) 암호화폐(가상화폐) 회사와 거래소를 겨냥한 북한의 사이버공격이 지속됐다며 "더 정교해지고 훔친 자금을 추적하기가 더 어려워졌다"고 평가했다. 

대북제재위는 이날 공개한 전문가 패널 보고서에서 북한이 핵과 미사일 프로그램 개발 등에 쓰이는 자금 확보를 위해 암호화폐 시장에 대한 사이버공격 수위를 높이고 있는 내용을 자세히 소개했다.  

전문가 패널은 "북한의 사이버 활동이 계속됐다"며 "수억 달러 상당의 암호화폐 자산의 절도로 이어진 2022년 2차례 주요 해킹 사건 중 최소한 1건은 북한 활동가들의 소행으로 추정된다"고 밝혔다.  

보고서는 우선 지난 3월 말 대체불가능토큰(NFT) 기반 비디오 게임 '액시 인피니티'에 사용되는 이더리움 기반 '로닌 네트워크'가 해킹돼 이더리움 17만3600개, 2550만 달러 상당의 USD코인(스테이블 코인의 일종)을 탈취당한 사건을 거론했다. 

사상 최대 규모 암호화폐 해킹 사건으로 알려진 이 사건은 총 피해액이 6억2500만 달러(약 8900억원)로 추산된다. 미국 연방수사국(FBI)이 지난 4월 중순 이 사건을 북한 정찰총국과 연계된 '라자루스'의 소행으로 봤고, 미 재무부는 절도와 연계된 이더리움 지갑 주소를 제재했다고 보고서는 밝혔다. 

전문가 패널은 "미 당국은 지난 5월 북한이 훔친 암호화폐를 세탁하는데 사용한 암호화폐 믹서 '블렌더'에 대해 제재를 부과했다. 이는 믹서 회사에 대한 첫 제재였다"고 밝혔다. 믹서는 가상화폐를 쪼개 누가 전송했는지 알 수 없도록 만드는 기술이다. 

전문가 패널은 "로닌 브리지'는 지난 6월 재개장했고, 그 회사는 자금을 완전히 회수하기 위해 법 집행기관들과 협력하고 있다"고 설명했다. 

보고서는 또 지난 6월23일 블록체인 기술기업 하모니의 '호라이즌 브리지'에 대한 사이버 공격 당시 로닌 네트워크 때와 매우 유사한 수법이 사용됐다는 점에서 북한 소행일 가능성에 무게를 실었다.

해커들은 8만5800개의 이더리움을 탈취한 것으로 추정됐으며, 같은 달 27일 믹서 회사인 '토네이도 캐시'를 통해 자금을 이동시켰다. 한 블록체인 분석 회사는 이전 해킹 사건과 강한 유사성을 토대로 '라자루스'를 주요 용의자로 조목했으며, 당국의 수사가 진행 중이라고 보고서는 밝혔다.

라자루스는 투자자들의 가상화폐 자산을 저장하는 디파이(DeFi·탈중앙화 금융) 지갑의 '트로이 목마'(정상적인 프로그램으로 위장한 악성코드) 버전을 배포했다는 한 사이버보안회사의 보고 내용도 전문가패널은 언급했다.

라자루스 외에 2016년 방글라데시 중앙은행 해킹으로 잘 알려진 정찰총국 산하 해킹 조직 블루노로프는 그동안 은행 또는 국제은행간통신협회(SWIFT·스위프트) 결제망에 연결된 서버를 주로 공략했으나, 이제는 오직 가상화폐 기업으로 공격 초점을 이동했다고 보고서는 밝혔다. 

전문가패널은 "수익 창출과 돈 세탁의 수단으로서 북한 사이버 활동가들에 의한 NFT 사용은 계속 늘어나고 있다"며 "암호화폐 분석가들은 그것이 가장 규제가 적은 분야 중 하나이기 때문에 이 메커니즘의 사용이 확대되고 있는 것에 우려하고 있다"고 지적했다.  

이어 "규제 조치가 마련되지 않는 한 이들 활동가들은 블록체인과 가상 자산 서비스 제공자간 취약한 연결고리를 계속 악용할 것으로 생각한다"며 "회원국들이 금융기관과 기업, 가상 자산 서비스 제공자를 포함한 국가 행위자들에게 임원부터 파트타임 직원들까지 모든 수준에 걸친 개인들에 대한 적절한 교육과 훈련, 정보공유 등을 취하길 권고한다"고 밝혔다. 

전문가 패널은 아울러 △거래 2중 인증 등 모든 암호화폐 이용자들에 대한 더 높은 문턱 설정 요구 △가상 자산 서비스 제공자 등록 절차 강화 위한 사이버기업에 대한 입법 또는 지침 수립 △회원국들간 협력 및 정보공유 강화 △가상 자산에 대한 금융행동 태스크포스 지침 조기 이행 및 가상 자산과 가상 자산 서비스 제공자들에 대한 반(反)돈세탁-대테러 자금 요건 설정 등도 권고했다. 

이와 함께 보고서는 한 회원국이 제공한 정보를 토대로 "북한 군수산업부와 연계된 북한의 정보기술(IT) 인력들이 보이스피싱 해킹 애플리케이션을 판매하고, 다수의 해외 서버와 인터넷 프로토콜 주소를 운영하면서 외화를 벌어왔다"고 밝혔다. 

보고서에 따르면 지난 2020년 7월 4명의 한국인이 중국 톈진에서 당국에 의해 체포돼 한국으로 송환됐는데, 이들로부터 범죄조직이 북한 IT 인력으로부터 보이스피싱 해킹 애플리케이션 뿐만 아니라 한국 국민들의 개인정보를 구입했다는 증언이 나왔다.  

보이스피싱 조직이 사용한 서버를 분석한 결과 북한에서만 사용되는 특유의 언어 용어가 나타났다고 보고서는 전했다. 

올해 초 회원국은 해킹 애플리케이션에 대한 매뉴얼과 그 기능을 보여주는 비디오 영상을 입수했다. 영상 속 인물은 북한 로켓공업부 예하 합장강무역회사와 직접 연결된 '비류강 해외기술협조사' 소속 '송림'으로 확인됐다. 로켓공업부는 군수산업부 산하다.  

보고서에 따르면 정유제품 불법 수입과 북한산 석탄의 불법 수출이 계속됐다. 

전문가 패널은 정유제품 수입을 위해 북한의 제재를 회피하기 위한 새로운 방법이 보고됐고 새로운 선박에 대한 조사가 이뤄졌지만, 일반적으로 같은 기관과 네트워크, 선박들은 같은 방법과 장소를 사용하면서 제재를 회피하는데 계속 아무런 제약을 받지 않았다고 지적했다. 

대북제재위에 통보된 북한의 정유제품 공식 수입량은 연간 상한선 50만 배럴의 8.15%에 불과했지만, 사실상 연간 상한선을 다 채웠거나 이를 넘었을 것으로 예상된다. 

실제 한 회원국은 올해 1∼4월 북한 유조선 16척이 27차례에 걸쳐 북한 남포 석유시설로 정유제품을 실어나른 장면이 담긴 위성사진을 제공했는데, 유조선의 최대 적재량을 토대로 이 기간 반입된 정유제품의 양이 연간 상한선의 90%인 45만8898배럴로 추정된다고 전문가 패널은 밝혔다.  

선박 간 해상 환적을 활용한 북한의 밀수 수법이 여전했지만, 최근에는 유조선 대신 화물선을 개조해 정유 제품 밀수에 동원하는 '새로운 제재 회피 수법'이 나타났다고 보고서는 설명했다.  

안보리 결의상 수출이 금지된 북한산 석탄의 불법 수출 역시 근절되지 않았다. 그동안 북한산 석탄 해상 환적의 주 무대였던 닝보-저우샨 해역뿐 아니라 황화 정박지, 보하이, 롄윈강 등 다른 중국 영해에서도 석탄 하역이 이뤄진 것으로 조사됐다.

그러나 중국 측은 전문가패널의 질의에 "중국 당국은 안보리 결의를 위반한 어떠한 활동이나 증거도 발견하지 못했다"고 답변했다.

북한은 선박들에 대한 소유구조를 파악하기 어렵도록 했고, 선박자동식별장치(AIS)에 대한 오남용을 계속한 것은 물론 2020년 이후 공식적으로 화물선과 유조선 등 14척의 선박을 새로 구입하는 등 신종 코로나바이러스 감염증(코로나19) 팬데믹 기간에도 불법 화물 운송에 공을 들인 것으로 나타났다.

보고서는 안보리의 제재가 의도치 않게 북한의 인도주의적 상황에 영향을 미쳤다는 것엔 의문의 여지가 없다고 인정하기도 했다.

기사제공=뉴스1(시애틀N 제휴사)