북한 해커들이 2024년부터 올해 9월까지 약 20억 3,700만 달러(한화 약 2조 8,313억 원) 상당의 암호화폐를 탈취한 것으로 밝혀졌다. 이는 북한의 연간 외화 수입의 약 3분의 1에 해당하는 액수로, 최근 발표된 ‘다자간 제재 감시팀(MSMT)’의 보고서에 따르면, 북한의 해킹 활동은 올해 더욱 증가하였고, 9개월간 11억 8,000만 달러(약 1조 6,432억 원)가 탈취된 것으로 나타났다. 이는 전년 대비 50%의 급증한 수치이다.
금년 탈취액의 상당 부분은 2월에 발생한 바이빗 해킹 사건에서 기인했다. 이 사건은 ‘트레이더트레이터(TraderTraitor)’로 알려진 해킹 그룹의 소행으로, 이 그룹은 제이드슬릿(Jade Sleet) 혹은 UNC4899 명칭으로도 활동하고 있다. 해커들은 바이빗의 다중서명 지갑 솔루션을 제공하는 세이프월렛(SafeWallet)을 타겟으로 삼았으며, 피싱 이메일과 악성 코드를 통해 내부 시스템에 침투한 후, 외부 출금을 내부 이체로 위장하여 콜드 월렛의 스마트 컨트롤을 탈취했다.
보고서에 따르면, 북한 해커들은 거래소 자체보다는 제3자 공급업체를 주요 공격 대상으로 삼고 있으며, 트레이더트레이터 외에도 크립토코어(CryptoCore), 시트린슬릿(Citrine Sleet)과 같은 여러 조직이 소프트웨어 공급망에 대한 전문 지식을 바탕으로 공격을 감행하고 있다. 예를 들어, 웹3 프로젝트인 먼처블스(Munchables)는 지난해 6,300만 달러(약 876억 원) 상당의 자산을 탈취당한 바 있으나, 자금 세탁 중 문제가 발생하여 해당 해커가 자금을 반환하기도 했다.
마지막으로, MSMT는 북한 해커들이 가상화폐를 현금화하기 위해 9단계의 정교한 자금 세탁 과정을 운영하고 있다고 경고했다. 탈취된 자산은 이더리움(ETH)으로 먼저 교환된 뒤, 믹싱 서비스인 토네이도 캐시(Tornado Cash)나 와사비 월렛(Wasabi Wallet)을 통해 익명성을 확보한다. 이후 비트코인(BTC)으로 환전되고 다시 믹싱 과정을 거쳐 최종적으로 테더(USDT)로 전환되며, OTC 브로커를 통해 현금화된다.
자금 세탁 과정에는 중국, 러시아, 캄보디아의 브로커 및 기업들이 깊숙이 연관되어 있다. 중국 선전 지역의 체인엘리먼트 네트워크 기술의 예딘룽(Ye Dinrong), 탄융즈(Tan Yongzhi)와 같은 인물들은 탈취된 자산의 유통 및 가짜 신원 창출에 개입되었다. 러시아에서도 OTC 브로커를 통해 약 6,000만 달러(약 834억 원) 이상의 자금이 환수되었으며, 캄보디아 후이원페이(Huione Pay) 플랫폼은 중앙은행의 허가 없이 불법적으로 사용되고 있다.
MSMT는 북한 해커들이 2010년대부터 러시아어권 사이버 범죄 조직과 긴밀히 협력해온 점을 분석하며, 2025년에는 문스톤슬릿(Moonstone Sleet)이라는 조직이 러시아의 랜섬웨어 그룹 킬린(Qilin)으로부터 공격 도구를 임대한 사례도 추적되고 있다고 밝혔다. 이에 따라, MSMT를 구성한 11개국은 유엔 안전보장이사회에 ‘전문가 패널’의 해체 이전 상태로의 즉각 복원을 요청하며, 각국의 UN 회원국들이 북한 발 사이버 위협에 대한 인식 제고에 나설 필요성을 거듭 강조했다.
