북한과 암호화폐: 북한은 주요 거래소 해킹의 배후인가?

과거 몇해 동안 세계 언론은 북한 해커들로 인한 핀테크 사업의 피해를 주기적으로 보도해 왔다. 그러나 국제전기통신연합이 북한인구 중 인터넷 이용자의 비율이 실질적으로 0에 가깝다고 추정한 것을 보면 이 사실은 상당히 이상하게 보인다.

명백히, 이는 사이버 범죄자나 인터넷 기업인 모두에게 좋지 않은 환경이다. 그러나 북한 사건은 국가 간의 권력 투쟁에 전통적인 도구가 아닌 암호화폐가 어떻게 전략무기가 될 수 있는지를 보여준다.

 

남한과 북한

암호화폐와 블록체인 산업이 있는 남한과 북한 간의 격차는 실로 방대하다. 한반도는 같은 언어, 민족, 문화를 공유하고 있지만 전쟁으로 인해 분단됐다.

 

관련기사: 남북한의 인터넷 접근방식 비교

 

그 후, 남한은 먼저 자유시장 경제 번영을 이룩한 후  본격적인 민주주의를 성취한  발전의 길로 접어들었다. 좀 더 최근에는 블록체인 혁명을 이끄는 선두국가로서 기술에서 규제로 확산되는 전 분야에서 혁신적인 접근을 보여주었다. 한편, 북한은 김일성, 김정일에 이어 김정은이 철권통치하고 있는, 세계에서 몇 안되는 공산국가 중 하나로 남아 있다. North VS South Koreas in numbers

북한 정권은 나머지 국가들과의 모든 통신을 감시하는 것을 목표로 하고 있으며, 이러한 태도는 정보 기술에 대한 접근에도 영향을 미친다. 이 나라에 대한 자료는 대개 흩어져 있어 거의 업데이트되지 않는다. 그러나 모든 자료를 종합해 보면 북한의 기술기반 구조가 잘 개발되지 않았고 중앙권력에 의해 엄격히 통제되고 있음을 알 수 있다.

인터넷 접속은 소수 특권 계층에게만 제한되어 있는데, 이 계층은 정권과의 유대 관계 덕분에 합법적이거나 불법적으로 수입된 최신 장치와 소프트웨어를 즐길 수도 있다. 중국이나 인도 같은 국가에 거주하고 있는 몇 안 되는 북한 인터넷 사용자들도 상위 수준의 현지 인터넷 자원에 직접 접속할 수 있다.

결론적으로, 인터넷이나 암호화폐를 접할 수 있는 북한 사람들 모두가 북한 정부의 인사이거나 적어도 중앙 권력의 지원을 받는 계층이다.

 

해킹라이선스?

북한이 왜  '비정상'인지 이해하기 위해서는 북한이 다른 나라, 특히 미국과의 관계를 정상화한 적이 없다는 사실을 고려해야 한다. 게다가 1992년 이후 미국은 북한 당국에게 핵무기와 미사일 확산 활동을 폐기하라고 수 차례 제재를 가해왔다.

 

2006년 유엔 안전보장이사회는 북한의 첫 번째 핵무기 실험에 대한 대응조치로 모든 유엔 회원국들에게 북한과의 교역을 금지하는 결의안을 통과시켰다. 그렇다면, 북한의 강도 높은 해킹 활동은 정부 주도에 의한 것으로서 상대국에 대한 압박과 경제 자원 수집을 목적으로 하는 무기일 것이다.

 

사이버 전쟁과 경제 제재 사이의 직접적인 연관성은 상당히 선형적으로 보일 수 있다. 전문가들은 북한이 2009년 7월 이후  남한  목표물에 대한 분산서비스거부 공격(DDoS)을 사용했고, 이듬 해에는 은행업계와 국제기구를 집중공격했다고 보고했다. 예를 들어, 소니 픽처스 엔터테인먼트는 2014년에 공격 받았고 그 후 북한은 2016년에 방글라데시 중앙은행을 해킹했다.

 

미국 정부는 2017년부터 북한이 후원하는 것으로 추정되는 악성 사이버 활동을 '히든 코브라'로 규정하고 해킹 시도를 면밀히 감시하고 있다. 이 무렵부터 북한 해커들은 처음으로 암호 커뮤니티에 관여하게 되었다.

 

언론들은 2017년 2월 북한 간첩조직이 빗썸 거래소에서 발생한 700만 달러어치의 암호화폐 도난 사건에 연루되었을 가능성을 처음으로 보도 했다.

 

2017년 5월에는 워너크라이( WannaCry)라 명명된 악명 높은 랜섬웨어가 150개국에서 수천 대의 컴퓨터를 강타했다. 일부 정보원들은 이 행위가 중국 해커와 관련된 것이라고 주장했지만, 백악관은 12월 이 사이버 공격의 배후에 북한 정권이 있다고 공식 발표했다.

랜섬웨어 공격 이후 2017년 여름부터 북한 해커들은 남한의 핀테크 기업들에 대한 활동을 강화한 것으로 보인다. 한국인터넷진흥원(KISA)의 대비에도 불구하고, 2017년 12월에는 남한 암호화폐거래소 유빗자금 중 5분의 1을 훔쳐 회사를 파산시켰다.

북한소행으로 명확히 드러나지는 않았지만, 그 후 몇 달 동안 남한의 몇몇 기업들은 심한 타격을 받았다. 2018년 6월에는 코인레일에서 약 4,000만 달러의 암호화폐가 도난 당했고, 2019년 3월에는 다시 1,900만달러를 탈취 당했다. 그러나 이것이 내부 소행인지, 범인들이 북한과 연계됐는지는 여전히 불분명하다. 하지만 한국의 보안 전문가들은 2019년 5월 업비트를 목표로 한 피싱 공격의 배후는 북한이라고 믿는 듯하다.

 

북한 해커들이 강탈해 간 액수에 대한 추정치는 확실치 않다. 2019년 3월 공개된 유엔 안전보장이사회(안보리) 문서에서는 2015년부터 2018년까지 북한이 해킹 활동을 통해 약 6억 7,000만 달러를 확보한 것으로 계산했다. 안보리의 최신 보고서에 의하면, 북한 해커들이 은행과 암호화폐 거래소에서 홈친 액수는 20억 달러에 달한다고 주장되고 있는데, 이는 북한의 연간 GDP의 7%에 해당한다. 유엔은 현재 17개국이 연루된 35건의 공격을 조사 중이지만 대부분은 한국의 표적과 관련이 있다.

 

라자루스의 등장과 활동

2017년 마지막 몇 달 동안, 보안 조사 기관인 파이어아이(FireEye)의 전문가들은 2017년 북한의 공격이 이전 활동에 비해 두드러진 특징을 보인다는 것을 알아챘다. 파이어아이 보고서는 개인 지갑(private wallets)과 암호화폐 거래소를 목표로 한 것은 "제재를 회피하고 정권에 자금을 대줄 경화를 획득하는 수단"으로 삼았기 때문이라고 해석했다.

이는 시장에서 명목화폐 대 암호화폐 환율이 올랐기 때문이며, 보고서는 "새로운 자산으로 대두되는 암호화폐가 범죄 기업처럼 운영되는 정권의 관심을 받는다는 것은 놀랄 일이 아니다"라고 결론지었다.

해커들은 기업의 IT 인프라를 장악할 목적으로 악성 코드를 담은 가짜 메시지를 거래소 직원들의 개인 e메일 주소로 보내는 피싱 기법을 사용했다.

2018년에 분석한 바에 따르면, 많은 공격이 자신들을 라자루스라고 밝힌 단일 그룹에 의해 자행됐다. 사이버 범죄 전문업체 그룹-IB는 2017년 초부터 2018년 말까지 암호화폐 거래소에서 빼돌린 암호화폐액의 약 65%가 라자루스에게 넘어간 것으로 보고 있다. 라자루스가 빼간 5억 7,100만달러어치의 자산 중 5억 3,400만 달러가 2018년 1월 일본의 암호화폐 거래소 코인체크를 해킹해서 탈취한 것이다.

Successful attacks involving South Korean targets or Lazarus 2017—2018

그룹-IB가 쓴 라자루스 보고서에서는 라자루스와 북한의 최고 군사기구가 연관된 IP 주소를 사용하고 있다고 밝히고 있다. 라자루스가 북한 정찰총국 산하 정찰총국 소속 121국 소속일 가능성이 있다는 것이다.  이들의 활동은 아마도 2016년으로 거슬러 올라갈 것이다.

그룹-IB의 분석가들은 손상된 시스템 인프라 내부에서 선택적인 공격의 흔적을 발견했고, 악의적인 다중 계층 서버 구조가 실행되었음을 발견했다. 이 외에도 북한 해커들은 감염된 PC를 원격으로 제어할수 있는 모듈식 도구 세트를 개발했다. 이 솔루션은 악성코드 감지를 복잡하게 하는 등의 기능을 가지고 있으며, 소프트웨어를 재사용하거나 결합하여 특정 회사를 대상으로 해커 팀원들끼리 분담하여 활동할 수 있도록 한다.

2019년 봄, 사이버 보안 및 바이러스 백신 회사인 카스퍼스키 랩은 현재 라자루스의 툴박스가  윈도우(Windows)와 맥 OS(macOS) 맬웨어를 모두 포함할 정도로 진화함에 따라 목표 인프라에서 악의적인 PowerShell 스크립트를 실행할 수 있게 되었다고 보고했다.

 

북한의 목표는 IT인프라 공격과 국제제재를 피하기 위한 수단으로서의 암화화폐 획득

북한의 해킹은 아마도 두가지 목표를 향하고 있는 것 같다. 그들의 공격은 경쟁국의 IT 인프라를 약화시키는 것을 목표로 한다. 또 다른 한편으로, 그들은 국제 사회의 제재를 피해 경화로 전환할 수 있는 자산을 탈취하는 것을 목표로 한다. 후자의 목표는 2017년 늦봄부터 북한이 소규모 채굴을 시도했지만 별 소득은 거두지 못했다는 남한 측 소식통의 보고와도 일맥상통한다.

국제 금융 제재를 받고 있는 다른 나라들도 암호화폐를 제재를 극복하기 위한 수단으로 사용할 가능성을 모색중인 것으로 보인다. 예를 들어, 이란은 채굴을 이용하고 심지어 자율적인 국제 금융 이체망을 만들려고 시도하고 있다.  베네수엘라의 가상화폐 페트로도 이와 같은 야망을 지지하고, 암호화폐에 대한 러시아의 태도도 크림반도 사태 이후 국제적인 제재 문제에 영향을 받은 것이다.

 

관련기사: 미국 제재에 항거하기 위한 베네수엘라 암호화폐 페트로

"불량국가" 정권이나 테러리스트 그룹과의 연관성 때문에 암호화폐의 평판이 심각하게 훼손됐음에도 불구하고 국제적 규제를 피해 암호화폐를 실제로 사용할 수 있을 지는 의문이다.

예를 들어, 북한의 사례는 채굴이나 불법 활동을 통해 취득한 암호화폐를 명목화폐로 바꾸는 일이 얼마나 고달플 것인지 보여준다. 게다가, 가장 악명 높은 랜섬웨어 공격의 실제적인 경제적 결과는 언론에서 다룬 것에 훨씬 못 미치는 것으로 보이며, 암호화폐 거래소들은 해킹공격 발생시 도난자산의 현금화를 막기 위해 협력해왔다.

실제로 북한 해커들은 암호화폐에 대한 본인증명요구 등이 강화되면서 어려움을 겪고 있는 것으로 보인다. 이 때문에 일부 안보 전문가들은 암호화폐 업계에 대한 북한의 해킹을 '명목화폐 세계'에 있는 전통적인 금융기관에 대한 정보나 공격할 수 있는 목표를  규명하기 위한 활동으로도 해석한다.

북한이 얻는 실제적인 경제적 이득이 어떻든 간에, 북한 사건은 아마도 정권 차원에서 정부차원의 이익을 얻기 위해 암호화폐에 접근하는 가장 극단적인 예일 것이다. 북한같은 모순 덩어리는 달리 없다. 이 곳에서는 암호화폐가 국가의 무기처럼 개발되는 자원인 반면, 일반 국민은 인터넷에 접속할 수 있는 지조차 모르고 있다.

인터넷의 전신인 ARPANET은 1960년 대에 미 국방부에 의해 핵전쟁 발발시에 신뢰할 수 있는 통신 수단을 확보하기 위해 개발되었다. 인터넷이 세계적이고, 국가 중립적이며, 민주적인 사회 기반 시설로 진화할 것이라는 예측은 거의 불가능한 것처럼 보였다.

반면, 암호화폐는 자유 체제에서 탄생했지만, 북한의 해킹공격은 암호화폐가 전체주의 정권에 의해  어떻게 관리 가능한 무기가 될 수 있는지를 분명히 보여주고 있다. 기술보다는 사회,  기관, 그리고 주변 경제 환경이  파괴적 혁신의 진화 경로를 결정하는 데 더 깊은 영향력을 갖고 있다고 보는 것이 타당하다.