북한이 탈취한 암호화폐를 돈세탁하는 수법을 고도로 발전시켰다고 미국 암호화폐 정보업체 TRM 랩스의 닉 칼슨 분석관이 밝혔습니다. 미 연방수사국(FBI)에서 대북제재 이행 업무를 담당했던 칼슨 분석관은 VOA와의 인터뷰에서 북한 해커들은 북한 정부 조직 자체이기 때문에 공격적으로 돈세탁을 할 수 있다며 이같이 말했습니다. 칼슨 분석관은 북한 등의 암호화폐 해킹에 대응한 FBI의 수사력도 공격적이고 혁신적으로 발전하고 있다며, 북한 해킹에 대한 효과적인 수사도 시간 문제일 뿐이라고 분석했습니다. 조은정 기자가 칼슨 분석관을 전화로 인터뷰했습니다.
TRM 랩스의 닉 칼슨 정보분석관
기자) 북한과 연계된 해킹조직 라자루스가 지난 달 6억 2천만 달러 상당의 암호화폐를 탈취해서 미국 정부가 전격 제재에 나섰습니다. 이번 해킹에서 어떤 점을 가장 눈 여겨 보셨습니까?
칼슨 분석관) 이번 사건은 금액 면에서 사상 최대 규모의 해킹 사건 중 하나입니다. 상대적으로 작은 규모의 해킹 작전을 통해 엄청나게 많은 돈을 훔쳤습니다. 또한 북한 해커들이 인내심을 발휘했다는 점도 눈에 띕니다. 실제로 보안을 뚫은 것은 지난해 12월인데 올해 3월까지 기다렸다가 자금을 탈취했다는 징후들이 있습니다. 정찰과 약탈 단계에서 상당한 인내심을 보이는 것은 전형적인 북한 해킹의 수법입니다. 그들은 느긋하고 체계적이며 표적에 집중합니다. 또 다른 점은 훔친 암호화폐를 밖으로 빼돌리고 세탁하는데 상당히 공격적인 모습을 보였습니다. 이 또한 전형적인 북한 해킹의 특징이죠.
기자) 이번 사건에서 얼마나 공격적으로 돈세탁을 했습니까?
칼슨 분석관) 북한 해커들은 25일 현재 1억 달러, 어쩌면 2억 달러를 벌써 돈세탁을 통해 옮겼습니다. 매우 빠른 속도이자 다른 해킹 단체들과 아주 다른 모습입니다. 미국 역사상 가장 큰 해킹 사건 중 하나인 2016년 비트피넥스 해킹의 범인들은 불과 몇 주 전에 뉴욕에서 체포됐습니다. 해커들은 보통 이처럼 거액을 훔친 뒤에는 매우 천천히 현금화를 하죠. 다른 해커들은 암호화폐의 출처를 감추는 ‘토네이도 캐시’나 이더리움의 ‘믹서’들에 자금을 두고 조금씩 오랜 기간을 통해 현금화를 하곤 합니다. 하지만 북한의 경우 예를 들어 5천만 달러 정도를 ‘믹서’에 넣었다가 뺍니다. 10만 달러, 20만 달러를 믹서에 넣으면 추적하기가 매우 힘든데 북한과 같이 거액을 투입하면 추적하기가 쉽습니다.
기자) 북한이 이처럼 빠른 속도로 돈세탁을 할 수 있는 이유는 무엇일까요?
칼슨 분석관) 북한 해커들은 전 세계 누구도 누리지 못하는 유리한 조건을 가지고 있습니다. 바로 이들은 북한 정부 조직 그 자체라는 것입니다. 정부의 허락을 받은 범죄 조직과도 차원이 다르죠. 러시아의 해커도 수주, 수년, 수십년 뒤에 체포될 수도 있다는 우려를 가지고 있을 것입니다. 하지만 북한 해커들은 그런 문제가 없죠. 그들은 해외 여행도 하지 않고요. 북한 정부가 그들에 대한 범죄자 인도 요청에 응할 리도 없습니다. 그렇기 때문에 공격적으로 돈세탁을 할 수 있는 것이죠.
기자) 북한 해커들은 빨리 움직이기 위해 훔친 암호화폐를 돈세탁을 할 때 난독화(obfuscation), 즉 프로그램 코드를 분석하기 어렵게 만드는 작업을 덜 하죠?
칼슨 분석관) 북한 해커들은 딱 필요한 만큼만 난독화를 합니다. 암호화폐를 움직이기 위해 필요한 정도만 하죠. 암호화폐를 잘게 쪼개 섞는 ‘믹서’ 몇 군데에 2주 정도 돌리다가 중국이나 동남아시아에 있는 브로커를 통해 명목화폐로 바꾸는 것입니다. 2주 정도만 그들을 추적하는 각국 정부와 민간 분석 업체들을 피하는 것이죠.
기자) TRM 랩스에서는 어떤 일을 하고 계십니까? FBI에서도 북한을 다루셨죠?
칼슨 분석관) 몇 년 동안 사람들은 블록체인이 익명에 기반한다고 생각했습니다. 비트코인이 유사 익명성을 가지고 있다고 생각했죠. 하지만 그것은 사실이 아닙니다. 블록체인은 전통적인 금융보다도 공개적입니다. TRM 랩스는 온체인 데이터, 즉 블록체인에서 이뤄지는 움직임을 분석해 블록체인 거래의 움직임을 파악합니다. 일반 기업, 사법 기관, 정부 기관에 분석의 틀을 제공하죠. 저는 17살 때 미 육군에 입대하면서 북한 문제를 다뤘습니다. 대학에서 한반도를 전공하고 이후 미 연방수사국에서 대북 제재법을 이행하는 업무를 담당했습니다. 2015년 전까지는 대북 제재에 대해 관심을 가지는 사람도 몇 없었고 미국 정부도 큰 관심이 없었죠. 하지만 지난 몇 년 사이에 많은 관심이 생기기 시작했습니다.
기자) 북한의 암호화폐 공격, 사이버 범죄도 지난 몇 년간 크게 늘었죠?
칼슨 분석관) 북한 정부의 수익원으로 볼 때 사이버 범죄는 지난 4~5 년 간 매해 수억 달러를 벌어들였습니다. 전통적인 제재를 생각할 때, 저는 예전에 북한의 무연탄, 석탄, 텅스텐 등 광물 수출을 막으려고 노력했습니다. 하지만 북한은 이번 ‘로닌’ 해킹 한 건으로 이 모든 광물 수출을 몇 년 동안 했을 때 벌어들일 수 있는 수익을 창출했습니다. 북한으로서는 핵 프로그램을 몇 개월을 가동할 수 있는 엄청난 수익이죠.
기자) 북한은 최근 몇년 간 해킹 기술을 얼마나 고도로 발전시켰습니까?
칼슨 분석관) 북한의 암호화폐 범죄를 보고 있노라면 진화 속도가 얼마나 빠른지 정말 놀랍습니다. 2020년 싱가포르의 암호화폐 거래소 쿠코인에 대한 북한의 해킹은 2018년 해킹 수준과 비교하면 비약적인 발전을 했죠. 암호화폐를 뒤섞는 ‘믹서’ 도구를 정교하게 사용합니다. 2018년에는 북한이 대형 암호화폐 거래소 몇 군데를 해킹 하고 자금을 한 두 군데 거래소를 통해 현금화했죠. 하지만 2020년에 들어서는 ‘믹서’를 이용하고, 탈중앙화 금융 서비스 (DeFi)를 이용해 즉각적으로 암호화폐를 교환하죠. 서로 다른 블록체인 간 거래하는 ‘크로스체인’은 이제는 일반적인 방법 중 하나입니다.
기자) 북한이 어떻게 이렇게 빨리 기술을 진전시킬 수 있었을까요?
칼슨 분석관) 앞서 말했듯이 최소한의 난독화를 하기 때문입니다. 그런데 연방수사국 FBI나 한국 정부 수사관들도 예전보다 북한 해킹 추적을 훨씬 더 잘하고 있습니다. 범죄자들은 혁신적으로 기술적 한계를 계속 극복하고 있습니다. 최대한 빨리 훔치려고 하죠. 그런데 정부들이나 제가 몸담았던 FBI도 지난 몇 년간 놀라울 정도로 기술을 진전시켰습니다. 지난해 미국의 대형 송유관기업 콜로니얼 파이프라인의 랜섬웨어 해킹 사건에서 피해자가 지급한 몸값의 일부를 FBI가 회수했습니다. 3년 전만 해도 볼 수 없었던 일입니다. 매우 공격적이고 혁신적인 역해킹 작전입니다. 정부와 민간업계, 분석 업체들이 협력해 탈취된 자금을 되찾는 경우들이 있습니다.
기자) 북한 해킹의 약점은 뭐라고 보십니까?
칼슨 분석관) 저는 FBI에서 일했기 때문에 사냥꾼(hunter) 역할에 익숙합니다. 북한 해커들도 마찬가지 마음일 것입니다. 그들은 피해자들을 추적하고 있죠. 하지만 북한 해커들도 역으로 추적을 당할 거라는 점을 잊어서는 안됩니다. 북한 해킹에 대한 효과적인 수사 작전을 통해 자금을 회수하고 북한의 기술 기반에 심각한 타격을 가하는 것도 시간 문제일 뿐입니다. 콜로니얼 파이프라인을 해킹 공격한 ‘다크 사이드’를 추적한 작전이 펼쳐진 것처럼 북한 해커들도 놀라게 될 것입니다.
기자) 재무부가 ‘로닌’ 해킹과 관련해 ‘라자루스’의 가상화폐 계좌 4곳을 제재했습니다. 이러한 조치가 어떤 효과가 있을까요?
칼슨 분석관) 매우 도움이 됩니다. 재무부의 발표 이후 ‘토네이도 캐시’는 대북 제재 체제를 준수하겠다고 공개적으로 밝혔습니다. 지갑 정보를 공개해서 창피를 줄 때 일반 대중들의 지속적인 관심을 끌게 되고 보안업체들과 민간 분석관들도 관심을 갖게 됩니다. 도난된 자금이 어디에 있고 어떻게 움직이는지 모든 이들이 인지하게 되는 것이죠.
기자) 북한 해커들이 중국에 ‘해커 호텔’에 거주한다는 보도도 나왔습니다. 해커들이 주로 어디에서 활동할까요?
칼슨 분석관) 중국 선양의 칠보산 호텔에 사람들이 오랫동안 관심을 가졌습니다. 하지만 그러한 물리적 장소가 필요한 시기는 이미 지났다고 봅니다. 또 북한의 IT 기술자들과 해킹 활동을 묶어서 생각하는 경향도 있습니다. 중국 업체에 IT 하청을 하는 북한 기술자들과 해커들은 구분됩니다. 칠보산 호텔에는 IT 기술자들이 있을 것입니다. 물론 북한 해킹 작업에 해외 방문이 포함될 수도 있지만, 기술적인 면에서 해외에 나갈 이유는 적습니다. 이제는 익명성을 보장하는 방탄호스팅 서비스와 가상사설망(VPN) 서비스가 많습니다. 태국으로 나갈 필요없이 평양에서 해킹을 할 수 있죠. 중국의 차이나유니콤, 러시아의 트랜스 텔레콤의 북한 내 인터넷 연결망으로 충분합니다.
기자) 앞으로 북한의 가상화폐 해킹 전망을 어떻게 보십니까?
칼슨 분석관) TRM 랩스와 같이 북한의 공격을 추적하고, 방해하는 도구가 빠르게 진화하고 있습니다. 또 블록체인의 영속성을 기억해야 합니다. 블록체인 기록은 영원히 남을 것입니다. 분명 북한 해커들에 대한 심판이 있을 것입니다. 북한 정권의 붕괴 이후가 될지라도 대가를 치러야 할 것입니다.
지금까지 미 연방수사국 FBI 출신으로 민간 블록체인 정보업체 TRM 랩스에서 북한의 암호화폐 공격을 분석하는 닉 칼슨 정보분석관을 조은정 기자가 인터뷰했습니다.