'헐한 일' 단어 보고 北 소행 특정…"코인 오를수록 해킹 늘 것"

[드러난 北의 코인탈취 범죄]
'코인 믹싱' 기술 통해 추적 방해
애먹던 경찰, 국제공조로 탈출구
스위스·미국 사법당국과 공조해
올 상반기 해킹 신고 벌써 899건
'서버 해킹' 유형이 전체의 절반
전문가 "'사이버 복원력' 강화"

북한이 제작한 것으로 추정되는 가상자산 교환 사이트. 사진 제공=경찰청

2019년 업비트에서 580억 원 상당의 이더리움이 도난된 사건이 북한의 소행인 것으로 드러나면서 북한의 해킹 공격에 대한 사회적 불안감이 고조되고 있다. 특히 최근 가상자산 시세가 폭등하면서 북한이 국내 가상자산거래소에 대한 공격을 재차 감행할 가능성이 높아지고 추적도 어려워지고 있어 주의가 필요하다는 전문가의 의견도 나온다. 경찰청 국가수사본부는 21일 5년 전 발생한 업비트의 이더라움 도난 사건의 배후로 북한을 지목하면서 “추적 과정에서 북한 어휘가 사용된 흔적을 발견했다”고 밝혔다. 2022년 11월께 수사를 진행하던 경찰은 해킹 조직의 정보통신망을 확보해 이들이 통신기기를 통해 ‘헐한 일’ 등의 단어를 사용한 흔적을 발견했다. ‘헐하다’는 북한에서 ‘힘이 들지 않아 어렵지 않다’는 의미로 통한다.


경찰은 북한이 탈취한 가상자산을 다양한 방법으로 세탁해 추적에 어려움을 겪었다고 밝혔다. 북한은 탈취한 자산 중 57%를 자체적으로 만든 것으로 추정되는 3개 가상자산 교환 사이트로 즉시 보냈다. 나머지 가상자산 또한 해외 51개 거래소로 분산돼 보내졌다.


이 과정에서 북한은 ‘코인 믹싱(mixing)’을 통해 자금을 세탁한 것으로 밝혀졌다. 믹싱은 입금자의 가상자산과 다른 사용자들의 가상자산을 섞어 추적을 어렵게 만들거나 끊기게 하는 기술이다. 당초 믹싱은 사용자의 정보를 보호하기 위해 고안됐지만 북한은 이를 수사기관의 추적을 피하기 위한 수단으로 악용한 것이다.


경찰이 추적의 끈을 놓치지 않을 수 있었던 것은 ‘국제 공조’ 덕분이었다. 사건 초기부터 경찰은 미국 연방수사국(FBI)과의 공조로 취득한 자료 등을 바탕으로 수사를 진행했다. 이후 경찰은 스위스 검찰로부터 피해 가상자산 중 일부가 비트코인으로 바뀌어 스위스 소재 거래소에 보관돼 있다는 소식을 들었다. 경찰은 4년간 해당 가상자산이 업비트에서 탈취당한 것의 일부라는 점을 증명한 뒤 올 10월 4.8비트코인을 환수해 업비트로 돌려줬다.





경찰은 이번 사건에 대해 “국내 가상자산거래소를 대상으로 한 북한의 사이버 공격을 사법 당국이 추적해 밝혀낸 첫 사례”라고 의미를 부여했다. 앞서 외국에서는 북한의 가상자산 해킹 사례를 수차례 발표한 바 있다. 올 8월 30일 마이크로소프트(MS)는 ‘시트린 슬리트(Citrine Sleet)’라는 북한 해킹 조직이 구글 브라우저 ‘크롬’의 취약점을 이용해 악성코드가 있는 웹사이트를 개설하고 가상자산 절취를 위한 정보를 수집했다고 밝혔다. 블록체인 리서치 업체 TRM랩스 또한 지난해 전 세계 가상자산 탈취액의 3분의 1이 북한 해커 소행에 의한 것이라고 추정하기도 했다.


북한을 비롯한 해킹 범죄는 날이 갈수록 기승을 부리고 있다. 한국인터넷진흥원(KISA)의 ‘사이버 위협 동향 보고서’에 따르면 사이버 침해 사고 신고 건수는 매년 증가하고 있다. 2022년 1142건이었던 침해 사고 신고는 지난해 1277건으로 11.8% 증가했다. 올해 들어서는 상반기에만 899건을 기록한 것으로 나타났으며 이는 2022년 상반기 473건, 2023년 상반기 664건과 비교해 각각 90%, 35.3% 늘어난 수준이다.


특히 ‘서버 해킹’ 유형에서 상승세가 두드러진다. 지난해 접수된 서버 해킹 신고 건수는 583건으로 전체 신고의 45.6%를 차지했다. 그러나 올해 들어서는 899건 중 56.1%에 해당하는 504건이 서버 해킹인 것으로 나타났다.


문제는 최근 비트코인 등 가상자산 시세가 급등하면서 북한의 해킹 공격 또한 심각해질 우려가 있다는 것이다. 김정덕 중앙대 산업보안학과 교수는 “북한은 대북 제재 등을 피하기 위해 자국 해커들을 활용해 가상자산을 탈취한 뒤 이를 정치자금 및 무기 구매에 쓰고 있다”며 “최근 비트코인 등의 시세가 오르고 있는 만큼 가상자산을 겨눈 북한의 해킹 범죄는 늘어날 것”이라고 설명했다.


특히 김 교수는 “과거에는 공격으로부터 데이터와 시스템을 보호하는 ‘사이버 보안’ 관점에서 대비를 했다면 이제는 사이버 자산운용 조직 차원에서 면역력이나 회복력을 강화하는 ‘사이버 복원력’ 측면에서 해킹 범죄를 바라봐야 한다”며 “사이버 공격의 탐지·대응과 예방은 물론 공격 발생 시 피해의 최소화와 신속한 정상화를 통한 운영 복귀가 중요하다”고 덧붙였다.



<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>