"더 적은 공격으로 더 큰 수익"…진화하는 북한의 해킹 전략

10년 전, 북한의 가상자산 해킹은 조잡한 피싱 이메일과 소규모 거래소 침입 정도에 그쳤다. 지금은 다르다. 국가정보원의 '2025 사이버위협 평가'에 따르면 북한은 2024년 해외 가상자산거래소 해킹 등을 통해 역대 최대 규모인 2조 2000억 원에 달하는 금전을 탈취한 것으로 집계됐다. 블록체인 분석기업 체이널리시스의 보고서는 이를 수치로 뒷받침한다. 북한 연계 해커들은 2024년 47건의 해킹을 통해 전 세계에서 발생한 도난 자금의 약 61%인 13억 4000만 달러를 탈취했으며, 이는 전년 대비 두 배 이상 증가한 수치다.

2025년 들어서는 전략 자체가 바뀌었다. 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억 2000만 달러(약 3조 원)의 가상자산을 탈취한 것으로 분석됐으며, 전문가들은 북한의 해킹이 단순 기술 침투를 넘어 '사회공학적 기법'으로 진화했다고 지적한다. 유명 테크 기업 채용 담당자를 사칭해 개발자에게 악성코드가 담긴 파일을 보내거나, 가짜 투자 제안으로 내부 시스템 접근권을 탈취하는 방식이다. 체이널리시스는 "북한은 이제 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원의 금융 작전 수행 능력을 갖췄다"고 경고했다.

2025년 2월 발생한 가상자산 거래소 바이비트(Bybit) 해킹은 이 전략의 총결산이었다. 북한은 바이비트 해킹 한 건으로만 약 15억 달러(약 2조 2100억 원)를 탈취했으며, 공격 대상도 소규모 탈중앙화 금융 서비스에서 대형 중앙화 거래소로 완전히 이동했다. 단 한 번의 작전으로 웬만한 중견국 국방 예산에 맞먹는 돈을 쓸어담은 셈이다.

탈취 후 흔적을 지워라-정교해진 자금세탁 루트

탈취한 가상자산을 현금으로 바꾸는 과정, 즉 자금세탁 역시 산업화 수준으로 고도화됐다. 북한 연계 조직은 훔친 자산의 60% 이상을 50만 달러 이하의 소액 단위로 잘게 쪼개 수천 개의 주소로 옮기는 패턴을 보이며, 해킹 직후 집중 감시 기간을 버티다가 감시가 느슨해지는 시점에 전격적으로 자금을 이동시킨다. 통상 45일 이내에 1차 세탁 사이클을 마무리하는 것으로 알려졌다.

자금세탁의 핵심 경로는 중국과 캄보디아다. 미국의 제재로 기존 혼합(믹싱) 서비스가 막히자 북한은 '중국 세탁소'로 불리는 지하 금융망을 이용하기 시작했다. 탈취한 가상자산을 여러 블록체인 네트워크로 옮긴 뒤, 중국계 지하 은행가와 장외 중개인, 송금책으로 구성된 돈세탁 네트워크에 넘겨 현금화하는 구조다. 다국적제재모니터링팀(MSMT) 보고서는 탈취한 가상자산의 현금화 과정에서 중국 국적자·금융시스템이 상당 부분 관여하고 있으며, 중국의 대표적 금융시스템인 유니온페이를 포함해 15개 시중은행이 자금세탁을 지원하고 있다고 밝혔다.

미 국무부, 'IT 위장 취업' 9명 현상수배

미국의 대응도 빨라지고 있다. 미 국무부 RFJ 프로그램은 최근 북한의 자금세탁 네트워크에 연루된 9명의 용의자에 대해 최대 500만 달러의 현상금을 내걸었다. 이들은 단순 해커가 아니다. 2021년부터 2024년 말까지 80명 이상의 미국인 신원을 도용해 100개 이상의 미국 기업에 원격 근무자로 위장 취업하는 데 가담했으며, 미국 내 페이퍼 컴퍼니와 은행 계좌를 개설하고 임금을 수령해 중국 은행과 개인들을 통해 세탁한 뒤 궁극적으로 북한에 송금하는 정교한 공작의 실행자들이었다.

법무부도 발 빠르게 움직였다. 미국 법무부는 최근 북한 IT 위장 취업 계획을 도운 미국 국적자 케이지아 왕과 전싱 왕에 대한 선고를 발표했다. 이 다년간의 계획은 최소 80명의 미국인 신원을 도용했고, 500만 달러 이상의 불법 수익을 북한 정부에 전달했다. 케이지아 왕은 징역 108개월, 전싱 왕은 92개월을 각각 선고받았다. 법무부는 이번 발표가 북한의 불법 수익 창출 계획에 대응하는 'DPRK RevGen: 국내 조력자 이니셔티브'의 일환이라고 밝히며, 2025년 7월·12월, 2026년 2월·3월에 걸쳐 관련자 선고가 잇따르고 있다고 설명했다.

핵·미사일의 디지털 연료는 왜 가상자산인가?

북한이 가상자산을 집요하게 노리는 이유는 단순하다. 익명성과 탈국경성이다. 달러나 위안화와 달리 가상자산은 국제 금융망(SWIFT)을 우회한다. 유엔 제재와 미국의 독자 제재가 기존 금융 채널을 봉쇄한 상황에서, 가상자산은 북한 정권에 사실상 유일한 외화 조달 통로가 됐다.

미국 국무부 조나단 프리츠 선임 부차관보는 브리핑에서 "북한 사이버 행위자와 IT 근로자들이 신분을 위조해 외국 기업에 취업한 뒤 벌어들인 수익과 가상자산 탈취금이 불법적인 핵무기 및 탄도미사일 개발에 사용되고 있다"며 이를 미국의 최우선 국가안보 과제로 규정했다.

숫자는 더 냉혹하다. MSMT 보고서에 따르면 북한은 2024년부터 2025년 9월까지 총 28억 4000만 달러(약 4조 원) 규모의 가상자산을 탈취했다. 북한의 연간 공식 GDP 추정치가 약 180억 달러 수준임을 감안하면, 가상자산 해킹이 국가 경제에서 차지하는 비중이 얼마나 기형적인지를 알 수 있다.

미국의 규제·집행 체계: 제재, 기소, 현상금의 삼각 포위

미국의 대응 전략은 크게 세 축으로 구분된다.

첫째는 제재다. 재무부 해외자산통제국(OFAC)은 북한 연계 해킹 조직 라자루스(Lazarus Group), APT38 등을 제재 리스트에 올리고, 이들이 활용한 믹서 서비스(토네이도 캐시 등)까지 차단했다. 캄보디아의 자금세탁 허브로 지목된 후이원 그룹도 미국과 영국의 제재 대상에 포함됐다.

둘째는 형사 기소다. 법무부 국가안보국(NSD)과 FBI는 사이버·방첩 합동 이니셔티브를 가동해 북한 IT 위장 취업 조력자들을 추적·기소하고 있다. 2025년 6월에는 FBI와 국방범죄수사국(DCIS)이 이 계획에 사용된 웹 도메인 17개와 수만 달러 규모의 금융 계좌 29개를 압수했다.

셋째는 공개 수배와 현상금이다. RFJ 프로그램은 북한의 재정 메커니즘 교란에 기여하는 정보에 최대 500만 달러의 현상금을 제공하며, 사이버 공격부터 자금세탁, IT 인력 수출까지 광범위한 활동에 대한 제보를 구하고 있다. 다크웹 기반 제보 채널까지 운영하는 것은 미국이 이 싸움을 얼마나 심각하게 보는지를 단적으로 보여준다.

결론: 디지털 금고를 잠가라

북한의 가상자산 탈취는 단순한 사이버 범죄가 아니다. 핵과 미사일로 향하는 디지털 재원 조달 작전이다. 문제는 이 전쟁이 비대칭적이라는 점이다. 북한은 국가 전체를 해킹 머신으로 운용하고, 피해자는 전 세계에 흩어진 민간 기업과 거래소들이다.

미국의 제재와 현상금 수배는 분명 의미 있는 압박이다. 그러나 전문가들은 가상자산 업계가 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 '패턴 기반 탐지 역량'을 강화해야 한다고 강조한다. 제도적 규제와 기술적 탐지가 함께 진화하지 않으면, 김정은의 디지털 금고는 계속 불어날 것이다.

지금 이 순간도, 북한의 해커들은 어딘가의 서버를 두드리고 있다.