북한 연계 해킹 조직이 올해 한 해 동안 약 3조 원에 달하는 가상자산을 탈취했으며, 이는 전년 대비 51퍼센트(%) 급증한 역대 최대 규모로 파악됐다.
특히 북한 해커들은 공격 횟수를 줄이면서도 피해 규모를 키우는 진화한 수법을 사용하고 있으며, 탈취한 자금을 추적하기 어렵게 50만 달러(약 6억9천600만 원) 미만으로 잘게 쪼개 수천 개의 주소로 분산시키는 '필 체인(Peel Chain)' 기법을 적극적으로 활용하는 것으로 알려졌다.
보안 업계에서는 인공지능(AI, Artificial Intelligence) 기술이 이들의 복잡한 행동 패턴 속에서 북한 해커 특유의 '행동 지문'을 읽어내며 새로운 추적 기술로 주목받고 있다.
◆ '선택과 집중' 대형 표적 노리고 '필 체인(Peel Chain)'으로 증발
블록체인 분석 기업들의 최신 보고서를 종합하면, 최근 북한 연계 해킹의 특징은 '선택과 집중' 그리고 '지능적 세탁'으로 요약된다.
과거처럼 무차별적인 공격 방식을 지양하고, 중앙화 거래소나 브리지와 같은 대형 표적을 장기간 정찰하며 사회공학적 기법을 통해 단 몇 번의 공격으로 치명적인 피해를 주는 전략을 구사하고 있는 것이다.
글로벌 블록체인 분석사 체이널리시스는 올해 북한 연계 조직이 최소 20억2천만 달러(약 3조1천20억 원)를 탈취했으며, 이는 전년 대비 51퍼센트(%) 급증한 수치라고 밝혔다.
가상자산 시장의 호황으로 코인 가치가 상승한 것도 원인 중 하나이나, 공격의 정교함이 높아진 것이 주된 이유로 지목된다.
실제 올해 전 세계 암호화폐 탈취액의 약 60퍼센트(%)가 북한 소행으로 집계됐다.
탈취한 자금은 '필 체인(Peel Chain)'이라는 이른바 '개미 떼 세탁' 기법을 통해 세탁된다.
이는 양파 껍질을 벗기듯 자금을 소액으로 계속 분할 전송하여 자금의 원천을 흐리는 방식으로, 북한 해커들은 100만~1천만 달러(약 13억9천200만~139억2천만 원) 단위로 움직이는 일반 해커들과 달리, 50만 달러(약 6억9천600만 원) 미만으로 자금을 잘게 쪼개 수천 개의 주소로 흩뿌린다.
거래소, 브리지, 믹서 등을 겹겹이 통과시키며 추적을 따돌리는 이러한 방식은 대형 탈취 사건 발생 후 약 45일에 걸쳐 '초기 은닉 → 중간 분산 → 최종 현금화'로 이어지는 세탁 사이클이 반복적으로 관측되는 '45일의 법칙'으로 불리기도 한다.
업비트 해킹에 당국 "북한 라자루스 유력 검토"
국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 사진은 지난 11월28일 서울 한 지하철역에 설치된 업비트 광고.사진=연합뉴스
◆ AI, '거래' 아닌 '행동'으로 북한 해커 추적
사람의 눈으로는 추적하기 어려운 북한 해커들의 복잡한 자금 세탁 과정을 에이아이(AI, Artificial Intelligence)는 어떻게 잡아낼까.
AI 기반 온체인 분석의 핵심은 개별적인 거래가 아닌 '맥락'을 이해하는 데 있다.
AI는 시간, 빈도, 금액 분포, 이동 경로 등 수십 가지 지표를 종합하여 하나의 '행동 서명'으로 학습한다.
분석가들은 북한 연계 주소군에서 뚜렷한 특징들이 나타난다고 설명했다.
예를 들어, 해킹 직후가 아닌 수개월 뒤 특정 시점에 자금이 일제히 움직이며, 거래액이 기계적으로 균등하게 분할된다는 점, 그리고 중국어권 장외거래(OTC, Over The Counter) 브로커나 특정 브리지 등을 선호하여 집요하게 이용한다는 점이다.
특히 AI는 코인의 종류를 바꿔 추적 고리를 끊는 '체인 호핑(Chain Hopping)' 구간에서도 강력한 위력을 발휘한다.
비트코인(Bitcoin)을 이더리움(Ethereum)으로, 다시 테더(Tether)로 환전하며 신분 세탁을 시도하는 경우에도, AI는 입출금 타이밍과 물량 패턴을 매칭하여 끊어진 연결고리를 다시 이어 붙인다.
결국 AI는 "어떤 거래가 수상한가"를 넘어 "어떤 행동 패턴이 북한식인가"를 가려내는 탐정 역할을 수행하는 것이다.
북한, 업비트서 이더리움 580억 털었다
5년 전 국내 가상자산 거래소가 보관하던 580억원 규모의 가상화폐가 탈취된 사건이 북한의 소행인 것으로 확인됐다. 그간 북한의 가상자산 해킹에 대한 유엔 보고서나 외국 정부의 발표는 있었지만, 국내 수사기관이 이를 공식 확인한 것은 이번이 처음이다. 사진은 지난 11월21일 오후 서울의 한 가상화폐소 현황판에 표시된 이더리움 실시간 거래 가격.사진=연합뉴스
◆ 북한 해커 '규칙적 분할'이 되려 덜미… 국가 안보 위협으로 직결
아이러니하게도 북한의 치밀함은 에이아이(AI) 앞에서는 오히려 약점으로 작용하고 있다.
기존 금융권의 자금세탁방지(AML, Anti-Money Laundering) 시스템은 주로 '일정 금액 이상'과 같은 단순 규칙에 의존했으나, 북한 해커들이 이러한 감시망을 피하기 위해 소액으로 쪼개 수천 번 거래를 반복했다.
그러나 AI 분석에서는 이러한 "지나치게 규칙적인 소액 분할" 자체가 강력한 이상 신호로 포착된다.
한 보안업계 관계자는 "한 번에 1천만 달러(약 139억2천만 원)를 옮기는 것보다 30만 달러(약 4억1천760만 원)씩 수천 번 옮기는 행위가 AI 패턴 분석에서는 더 뚜렷한 흔적을 남긴다"고 설명했다.
이제 가상자산 해킹은 단순한 금융 범죄를 넘어 국가 안보의 영역으로 확대되었다.
미국 재무부와 유엔 대북제재위원회는 북한의 해킹 수익이 대량살상무기(WMD, Weapons of Mass Destruction)와 탄도미사일 개발 자금줄로 흘러 들어간다고 지적하고 있다.
미국 재무부 해외자산통제국(OFAC, Office of Foreign Assets Control) 역시 올해 제재 발표를 통해 디지털 자산을 이용한 북한의 자금 조달 계획을 구체적으로 명시하며 경고 수위를 높인 바 있다.
일부 일반 투자자들 사이에서는 "내 거래 내역도 에이아이(AI) 감시 대상이 되는 것 아니냐"는 우려도 제기되나, 전문가들은 AI의 타깃은 정상적인 개인 투자자가 아니라고 선을 긋는다.
불규칙하고 자연스러운 개인의 거래와 달리 특정 목적을 위해 기계적으로 반복되는 북한식 세탁 패턴은 확연히 구분되기 때문이다.
결국 북한 해커들이 접속 주소(IP, Internet Protocol)와 지갑 주소와 같은 '얼굴'은 교묘하게 바꿨을지 몰라도 자금을 움직이는 '버릇'만큼은 AI의 눈을 피하지 못하게 됐다는 점은 향후 AI가 북한 해킹을 막는 중요한 무기가 될 수 있음을 시사한다.