올해만 '가상자산 3조원' 해킹한 북한, '대형 표적'에 집중한다

가상자산 해킹으로 핵과 미사일 개발 자금을 조달해온 북한이 무차별적 사이버 공격에서 벗어나, 공격 횟수는 줄이되 성공 가능성이 높은 '대형 표적'에 화력을 집중하는 전략으로 진화하고 있다는 분석이 나왔습니다.

특히 훔친 자금을 50만 달러 이하로 쪼개 수천 번 송금하는 이른바 '개미떼 세탁' 수법을 통해 국제사회의 감시망을 무력화하고 있어, 단순 수치를 넘어선 행동 패턴 중심의 대응 전략이 필요하다는 지적이 제기됩니다.

미국 블록체인 데이터 분석 기업 체이널리시스는 최근 공개한 보고서에서 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억2천만 달러(약 3조 원)의 가상자산을 탈취한 것으로 분석했습니다.

이는 2024년(약 13억 달러) 대비 51% 급증한 수치로 역대 최대 규모입니다.

보고서에 따르면 올해 북한의 해킹 전략에서 가장 주목할 점은 '공격의 정예화'로, 전체 공격 횟수는 전년 대비 약 74% 급감했지만, 건당 피해 규모는 비약적으로 커졌습니다.

실제로 올해 전 세계 가상자산 서비스 침해액(개인 지갑 제외) 중 북한이 차지하는 비중은 무려 76%에 이릅니다.

과거 보안이 허술한 탈중앙화 금융(DeFi) 브리지를 주로 노렸던 북한은 올해 들어 업비트, 바이비트(Bybit)와 같은 중앙화 거래소(CEX) 및 핵심 인프라를 다시 정조준하고 있습니다.

체이널리시스는 "북한 해커들은 수개월간 타깃을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 '대어'에 모든 자원을 투입한다"고 분석했습니다.

지난 2월 발생한 바이비트의 15억 달러 해킹 사건이 대표적입니다.

탈취한 자금을 세탁하는 과정에서도 북한만의 독특한 '지문'이 발견됐습니다.

북한 연계 조직은 훔친 자산의 60% 이상을 50만 달러(약 7억4천만 원) 이하의 소액 단위로 잘게 쪼개 수천 개의 주소로 옮기는 패턴을 보였는데 이는 대액 거래를 집중 감시하는 거래소와 수사 당국의 AI 모니터링 시스템을 회피하기 위한 전략입니다.

보고서는 북한이 이러한 분할 송금과 환전 과정을 거쳐 통상 45일 이내에 1차 세탁 사이클을 마무리한다고 밝혔습니다.

해킹 직후의 집중 감시 기간을 '스테이징(대기)' 단계로 버틴 뒤, 감시가 느슨해지는 시점에 전격적으로 자금을 이동시키는 것입니다.

특히 캄보디아 기반의 결제 그룹인 후이원(Huione)은 북한 자금 세탁의 핵심 노드로 지목됐는데 미국 재무부 산하 금융범죄단속망(FinCEN)은 올해 후이원 그룹을 '주요 자금세탁 우려 기관'으로 지정했습니다.

조사 결과, 후이원 그룹은 2021년부터 2025년 초까지 최소 40억 달러의 불법 자금을 세탁했으며, 이 중 상당액이 북한의 사이버 공격에서 유입된 것으로 파악됐습니다.

이들은 규제가 느슨한 동남아 결제망과 중국계 장외거래(OTC) 브로커를 연결해 북한의 '검은 돈'을 법정화폐로 바꿔주는 역할을 했습니다.

전문가들은 북한의 해킹이 단순 기술 침투를 넘어 '사회공학적 기법'으로 진화했다는 점에 주목합니다.

최근 북한은 유명 테크 기업의 채용 담당자를 사칭해 IT 인력에게 접근, '기술 면접'을 빌미로 악성 코드를 배포하거나 내부 시스템 접근권을 탈취하는 수법을 즐겨 쓰고 있습니다.

체이널리시스는 "북한은 이제 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전 수행 능력을 갖췄다"며 "가상자산 업계는 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 '패턴 기반 탐지 역량'을 강화해야 한다"고 강조했습니다.

(사진=연합뉴스)