평양에서 시민들이 컴퓨터를 사용하는 모습. 기사 내용과 직접 관련 없음. AP 뉴시스


가상자산 해킹으로 핵·미사일 개발 자금을 조달해온 북한이 무차별적 사이버 공격에서 벗어나, 공격 횟수는 줄이되 성공 가능성이 높은 ‘대형 표적’에 화력을 집중하는 전략으로 진화하고 있다.
특히 훔친 자금을 50만 달러 이하로 쪼개 수천 번 송금하는 이른바 ‘개미떼 세탁’ 수법을 통해 국제사회의 감시망을 무력화하고 있어, 단순 수치를 넘어선 행동 패턴 중심의 대응 전략이 필요하다는 지적이 나온다.
21일 보안업계에 따르면 미국 백경릴게임 블록체인 데이터 분석 기업 체이널리시스는 최근 공개한 보고서에서 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억2000만 달러(약 3조 원)의 가상자산을 탈취한 것으로 분석했다. 이는 2024년(약 13억 달러) 대비 51% 급증한 수치로 역대 최대 규모다.
보고서에 따르면 올해 북한의 해킹 전략에서 가장 주목할 점은 ‘공격의 정 바다신게임 예화’다. 전체 공격 횟수는 전년 대비 약 74% 급감했지만, 건당 피해 규모는 비약적으로 커졌다.
실제로 올해 전 세계 가상자산 서비스 침해액(개인 지갑 제외) 중 북한이 차지하는 비중은 무려 76%에 달한다.
과거 보안이 허술한 탈중앙화 금융(DeFi) 브리지를 주로 노렸던 북한은 올해 들어 업비트, 바이비트(Bybi 바다이야기온라인 t)와 같은 중앙화 거래소(CEX) 및 핵심 인프라를 다시 정조준하고 있다. 체이널리시스는 “북한 해커들은 수개월간 타깃을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 ‘대어’에 모든 자원을 투입한다”고 분석했다.
지난 2월 발생한 바이비트의 15억 달러 해킹 사건이 대표적이다. 탈취한 자금을 세탁하는 과정에서도 북한 릴게임하는법 만의 독특한 ‘지문’이 발견됐다.
북한 연계 조직은 훔친 자산의 60% 이상을 50만 달러(약 7억4000만 원) 이하의 소액 단위로 잘게 쪼개 수천 개의 주소로 옮기는 패턴을 보였다. 이는 대액 거래를 집중 감시하는 거래소와 수사 당국의 AI 모니터링 시스템을 회피하기 위한 전략이다. 보고서는 북한이 이러한 분할 송금과 환전 과정을 거쳐 릴짱 통상 45일 이내에 1차 세탁 사이클을 마무리한다고 밝혔다.
해킹 직후의 집중 감시 기간을 ‘스테이징(대기)’ 단계로 버틴 뒤, 감시가 느슨해지는 시점에 전격적으로 자금을 이동시키는 것이다. 특히 캄보디아 기반의 결제 그룹인 후이원(Huione)은 북한 자금 세탁의 핵심 노드로 지목됐다. 미국 재무부 산하 금융범죄단속망(FinCEN)은 올해 후이원 그룹을 ‘주요 자금세탁 우려 기관’으로 지정했다.
조사 결과, 후이원 그룹은 2021년부터 2025년 초까지 최소 40억 달러의 불법 자금을 세탁했으며, 이 중 상당액이 북한의 사이버 공격에서 유입된 것으로 파악됐다. 이들은 규제가 느슨한 동남아 결제망과 중국계 장외거래(OTC) 브로커를 연결해 북한의 ‘검은 돈’을 법정화폐로 바꿔주는 역할을 했다.
전문가들은 북한의 해킹이 단순 기술 침투를 넘어 ‘사회공학적 기법’으로 진화했다는 점에 주목한다.
최근 북한은 유명 테크 기업의 채용 담당자를 사칭해 IT 인력에게 접근, ‘기술 면접’을 빌미로 악성 코드를 배포하거나 내부 시스템 접근권을 탈취하는 수법을 즐겨 쓰고 있다.
체이널리시스는 “북한은 이제 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전 수행 능력을 갖췄다”며 “가상자산 업계는 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 ‘패턴 기반 탐지 역량’을 강화해야 한다”고 강조했다.
박세영 기자