블룸버그, "북한, 새 외화벌이 수단으로 가상화폐 주목"
"제재 속 비트코인 가격 치솟자 자금 마련 위해
거래소 해킹, 전자지갑의 비트코인 3800개 빼내" 주장
하지만 구체적인 증거는 제시 못 해
 |
유엔과 국제 사회가 대북 제재를 강화함에 따라 북한 해킹 그룹이 가상화폐를 새로운 외화벌이 수담으로 삼고 있다. 사진은 가상화폐인 비트코인 이미지. [중앙포토] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
북한의 방식은 가상화폐를 사고팔거나 채굴하는 게 아니다. 가상화폐 거래소를 해킹해서 회원번호와 비밀번호를 빼낸 뒤 전자지갑에서 가상화폐를 훔쳐가는 방법이다. 사이버 공격의 표적은 국내 가상화폐 거래소다.
블룸버그는 사이버 보안업체 파이어아이(FireEye)를 인용해 “북한이 최근 한국의 가상화폐 거래소와 가상화폐 뉴스 웹사이트에 대한 사이버 공격 시도를 늘리고 있다”고 전했다.
북한이 가상화폐 해킹에 관심을 두는 이유는 국제사회의 감시망을 피하면서 정권 유지에 필요한 자금을 조달하는 손쉬운 방법이기 때문이라고 블룸버그는 보도했다. 사이버 보안 전문가인 루크 맥나마라 파이어아이 연구원은 “대북 경제 제재가 가상화폐 해킹 도발을 증가시키는 것이 분명하다"며 "북한은 가상화폐 해킹을 적은 비용으로 현금을 끌어올 수 있는 해법으로 여기는 것 같다"고 말했다고 블룸버그는 전했다.
국제사회의 제재는 더욱 조여오는 상황에서 가상화폐 가격이 치솟으면서 북한의 가상화폐 해킹이 늘어날 수 있다는 게 전문가의 의견이다. 과거에도 북한의 사이버 공격 요원들은 글로벌 금융 시스템과 은행을 상대로 사이버 범죄를 저질러 왔다. 이젠 과녁이 가상화폐로 옮겨간 것이라고 블룸버그는 보도했다.
파이어아이는 이날 발표한 ‘북한은 왜 비트코인에 관심을 두나’ 제목의 보고서에서 올해 들어 북한이 한국 내 가상화폐 거래소를 노린 공격을 최소 3차례 시도했으며, 그중 한 번은 성공한 것으로 확인됐다고 주장했다. 이어 “비트코인을 비롯한 가상화폐 탈취로 북한 해킹 그룹의 금융 범죄는 제2 라운드에 진입했다"고 밝혔다.
파이어아이, "북한, 한국 가상화폐 거래소 공격했다"
파이어아이에 따르면 북한 사이버 공격 그룹은 지난 5월 초, 5월 말, 7월 초 각각 한국 내 가상화폐 거래소 3곳에 대해 사이버 공격을 했다. 보고서는 "5월 초 한국의 가상화폐 거래소 한 곳을 대상으로 스피어피싱 공격을 시작했고, 5월 말 두번째 거래소를 침투하는 데 성공했다. 7월 초 셋째 거래소를 공격할 때는 직원 개인의 e메일을 통해 해킹을 시도했다"고 밝혔다.
이와 별도로 6월 초에는 북한 해킹 그룹으로 추정되는 사람들이 국내 가상화폐 관련 서비스 업체에 해킹을 시도했다는 게 파이어아이의 주장이다. 비트코인 관련 뉴스를 전하는 영문 웹사이트가 북한 그룹의 공격을 받았다. 가상화폐를 훔쳐갈 수는 없지만 사이트 방문자들의 개인 정보를 빼간 것으로 보인다.
 |
[사진 트위터] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이에 앞서 4월 22일에는 가상화폐 거래소 야피존에 있는 전자지갑 4개가 털렸다고 파이어아이는 전했다. 지금까지 보지 못한 해킹 기술과 방법을 사용했다는 점이 특징이며, 아직 북한 소행이라는 명확한 증거는 없다고 덧붙였다. 하지만 파이어아이는 이 사건을 북한 소행으로 보고 있다.
실제로 이 즈음에 야피존은 비트코인 최소 3800개 이상을 도난당하는 사고가 일어났다고 당시 국내 언론이 보도했다. 비트코인 3800개는 현재 시세로 약 169억원 상당이다.
블룸버그와 파이어아이에 따르면 북한이 가상화폐 거래소를 공격할 때 사용한 수법은 스피어피싱(spear-phishing)이다. 스피어피싱은 타깃으로 설정한 개인 e메일로 악성 코드를 심은 파일을 전송한다. 북한 해킹 그룹은 가상화폐 거래소 소속 직원의 개인 e메일 계정으로 '피치핏(PEACHPIT)'이라는 악성 코드를 담은 e메일을 보낸 것으로 알려졌다.
파이어아이는 피치핏을 심어 발송된 문서의 종류도 확인했다고 밝혔다. 5월이 종합소득세 신고 마감 때라는 점을 노려 세금계산서로 위장한 악성코드를 심은 뒤 정보를 빼냈다. 또 현대경제연구원이 작성한 비트코인 현황 연구 보고서에도 악성 코드가 심어진 것으로 알려졌다.
이에 대해 국내 가상화폐 거래소 관계자는 "외부의 공격은 늘 있다. 지난 4월 이후 디도스와 해커들의 공격이 꾸준히 있어왔는데 북한 소행이라는 점을 특정할 만한 정보는 확인하지 못한 것으로 안다"고 말했다. 이들은 "블룸버그 보도를 계기로 외부 해킹 공격과 북한의 연관성을 재차 확인중"이라고 밝혔다.
북한, 가상화폐에 관심 가졌나
파이어아이는 5월 북한의 공격이 시작되기 전인 4월 미국이 북한에 대해 경제 제재를 강화하겠다고 발표한 데 주목했다. 경제 제재로 돈줄이 막힐 위험에 처한 북한이 당시 천정부지로 가격이 치솟고 있던 가상화폐에 대한 관심을 기울이게 됐다는 것이다.
실제로 지난 4월 도널드 트럼프 미국 대통령은 북한에 대한 경제 제재를 강화하겠다고 선언했다. 중국에 대해 대북 제재 수위를 올리라고 압박했으며, 유엔에는 대북 제재 결의를 촉구했다.
북한이 가상화폐에 관심을 갖는 또 다른 이유는 해킹 후 현금화하기가 상대적으로 쉽기 때문이다. 일단 북한 해킹 그룹이 가상화폐 거래소에 침투하는 데 성공하면 전자지갑에서 가상화폐를 빼낼 수 있다. 이를 거래 빈도가 적은 가상화폐로 바꾸거나 다른 거래소에 있는 전자지갑으로 보낼 수 있다.
이후 원화나 미국 달러, 중국 런민비 등 현금으로 인출할 수 있다. '무국적'이라는 가상화폐의 특징 때문에 이 과정에서 어느 나라 정부도 이를 알아채고 제재하기가 쉽지 않다. 맥나마라 연구원은 “가상화폐를 현금화하는 방법은 매우 다양하다"고 말했다.
각국 정부가 가상화폐 규제를 위한 논의를 막 시작한 상태다. 현재로써는 현금화 또는 돈 세탁을 하기가 일반 화폐에 비해 쉽다.
여기에다 비트코인 가격이 최근 큰폭으로 상승했다. 비트코인 가격은 올해 들어 400% 가까이 올랐다. 파이어아이는 “금 밀수, 지폐 위조, 금융 범죄 등을 서슴치 않으면서 범죄 조직처럼 운영되고 있는 북한 정권이 비트코인 가격이 뛰면서 이쪽으로 무대를 옮겼다"고 말했다. 사이버 침투 능력과 금융 범죄 의지라는 최적의 조합이 이를 가능케 했다는 것이다.
한국 내 가상화폐 거래소가 목표가 되는 이유는 단순히 지리적으로 북한과 가깝거나 같은 언어를 쓰기 때문은 아니다. 한국은 세계에서 가상화폐 거래가 가장 활발한 곳에 속한다.
맥나마라 연구원은 “비트코인과 이더리움을 사는 사람이 늘면서 가상화폐 거래소로 거액이 흘러들어가고, 그럴수록 거래소는 북한 그룹에 대형 표적이 되고 있다”고 말했다. 북한이 한국 외에 있는 가상화폐 거래소도 공격한 적 있는지 여부는 밝혀지지 않았다. 하지만 그럴 가능성도 배제할 수 없다고 했다.
블룸버그, "탬프 허밋이 해킹 공격"
지난해 호주 전략정책연구소 산하 국제사이버정책센터가 발간한 보고서에 따르면 북한정찰총국은 6000명의 사이버 요원을 두고 있다. 이들은 김정은에게 직접 보고하는 최정예 기관이다. 평시에는 간첩행위와 네트워크 파괴 등 사이버 공작 활동을 한다. 최근에는 사이버 공격의 표적을 '군사 기밀 탈취'에서 '금융 범죄'로 옮겨가고 있다.
블룸버그는 이번에 가상화폐 해킹 공격을 감행한 그룹으로 탬프 허밋(TEMP.Hermit)을 지목했다. 이들은 2015년 한국의 원자력 발전소, 지난해 삼성전자 사내 메신저 앱, 소니 영화 스튜디오를 대상으로 사이버 공격을 한 것으로 알려졌다고 블룸버그가 전했다.
박현영·정진우 기자 hypark@joongang.co.kr
▶모바일에서 만나는 중앙일보 [페이스북] [카카오 플러스친구] [모바일웹]
ⓒ중앙일보(http://joongang.co.kr) and JTBC Content Hub Co., Ltd. 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
