유엔 대북제재 보고서 “북, 사이버 탈취로 외화벌이”
정부, 해킹조직·정찰총국장 독자 제재 등 ‘돈줄’ 차단
한미 정부, 北 IT 인력 채용 막기 위한 주의보도

“북한이 해킹과 사이버 공격을 통해 탈취한 자금으로 핵무기 등 대량살상무기(WMD) 개발 재원의 40%를 충당했다.”

유엔 안전보장이사회 산하 대북제재위원회가 20일(현지시간) 공개한 보고서에서 전문가 패널들이 내린 분석은 최근 크게 늘어난 북한의 사이버 공격의 규모를 가늠하게 합니다.

북한은 유엔 안보리의 제재와 코로나19 여파 등으로 정상적인 무역 활동을 할 수 없게 되자 최근 몇 년간 사이버 공격을 외화벌이의 주 수입원으로 삼아왔습니다. 보고서에는 해킹, 사이버 공격 등의 불법 활동이 전체 외화 수입의 50%를 조달했다는 유엔 회원국의 보고 내용도 담겨있습니다. 그밖에 약 10만명의 북한 노동자가 40여개국에서 식당 종업원이나 재봉, 건설, 의료, 정보기술(IT) 분야에 종사 중이고 이를 통해 연간 약 5억달러(약 6689억원)의 수입을 올리고 있다는 분석도 더해졌습니다.

보고서는 또 지난해 북한의 소행으로 의심되는 가상화폐 탈취 사건 17건(총 7억 5000만달러 상당·약 1조원)을 조사 중이라고 밝혔습니다. 2017~2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 총 30억 달러(약 4조원)를 탈취한 것으로 추정하고 있으며 이와 관련된 58건의 불법행위에 대한 조사도 진행 중이라고 했습니다.

대북제재위 전문가 패널은 국제사회의 안보리 대북제재의 이행 상황을 점검해 1년에 두 차례 활동 결과를 유엔에 보고합니다. 615쪽에 달하는 분량의 이번 보고서는 지난해 7월부터 지난 1월까지의 활동을 담았습니다.유엔 안보리를 비롯해 우리 정부의 독자 제재 등은 주로 북한의 핵·무기 개발을 막기 위해 ‘돈줄’을 끊기 위한 조치들입니다. 제재 대상으로 지정된 개인 또는 단체와는 금융거래나 외환거래를 할 수 없습니다. 우리 국민이 제재 대상자와 금융거래나 외환거래를 하려면 각각 금융위원회나 한국은행 총재에게 사전 허가를 받아야 하고 허가를 받지 않으면 처벌될 수 있습니다.

최근 사이버 불법 활동과 암호화폐 탈취가 늘면서 한국과 미국 정부 등은 더욱 다양한 방식의 제재를 가하고 있습니다.

미국은 2022년 5월 믹서 기업 중 처음으로 ‘블렌더’를, 8월에는 ‘토네이도 캐시’를 각각 제재 대상으로 올렸습니다. 믹서(또는 텀블러)는 가상화폐를 쪼개 누가 전송했는지 알 수 없게 만드는 기술로, 이를 반복하면 자금 추적 및 사용처, 현금화 여부 등 가상화폐 거래 추적이 어려워집니다. 한 마디로 ‘세탁’ 작업을 하는 수단인데, 재무부 제재 대상으로 오르면 미국 내 자산이 동결되고 미국인과 거래하는 것이 금지됩니다. 북한이 탈취한 가상화폐의 ‘세탁’이 어려워지고 현금화가 어려워지는 것입니다.

당시 미 재무부는 믹서 기업인 ‘토네이도 캐시’가 2019년 설립한 이래 70억 달러가 넘는 가상화폐 세탁을 도운 혐의로 제재했다고 밝혔습니다. 특히 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스 그룹’이 4억 5500만 달러의 가상화폐를 세탁하는 데 토네이도 캐시가 사용됐다고도 했습니다. ‘블렌더’는 라자루스가 블록체인 비디오 게임에서 탈취한 가상화폐 6억 2000만 달러 중 일부를 세탁하는 데 사용된 것으로 알려졌습니다.

지난해 12월 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 폴리티코와의 인터뷰에서 “미국의 최우선 순위는 (북한의) 가상자산 탈취 근절에 있다”고도 밝혔습니다.

우리 정부도 지난해 12월 김수키, 라자루스, 안다리엘 등 북한 해킹조직의 ‘배후’ 조직인 정찰총국의 수장인 북한 리창호 정찰총국장을 불법 사이버 활동을 통한 외화벌이 및 기술 탈취에 관여한 이유로 독자 제재 대상으로 지정했습니다. 라자루스와 안다리엘은 지난해 2월, 김수키는 지난해 6월 각각 우리 정부의 독자 제재 대상으로 오르기도 했습니다.

정부는 또 지난해 9월에는 북한의 무인무장장비 개발과 IT 인력 송출에 관여한 류경프로그램개발회사와 관계자 5명을 독자 제재 대상으로 최초로 지정했는데요. 북한에 각종 제재와 코로나19 여파로 해외 노동자 파견이 어려워지면서 IT 인력을 활용해 외화를 벌어들이는 것을 고려해 돈줄을 막으려는 조치로 해석됩니다.

북한 IT 인력들은 비대면으로 업무를 처리할 수 있는 데다 해외 기업들은 보다 저렴한 인건비로 ‘가성비 좋은’ 인력을 활용할 수 있다는 점이 맞물려 해외 IT 업체들에서 많은 외화를 벌어들이고 있다고 합니다. 문제는 대부분 거래 과정을 추적할 수 있는 가상화폐와 달리 겉으로는 돈을 받고 업무를 처리해주거나 취업하는 형태가 되는 IT 인력들의 경우 자금이나 거래 내용이 명확하게 추정하기 쉽지 않다는 것입니다. 게다가 해당 기업 등의 기밀정보를 탈취하는 통로가 될 수 있는 우려도 이어집니다.

이 때문에 한미 정부가 합동으로 실리콘밸리를 중심으로 IT 관련 업체들에 ‘북한 IT 인력에 대한 주의 안내’ 주의보를 발표하는 등 여러 활동을 통해 주의를 당부하고 있다고 합니다. 지난해 10월 한미 양국이 낸 ‘사이버안보 분야 한미 정부 공동 주의보’에는 북한 인력들이 IT 업체에 취업하기 위한 과정에서 어떻게 신분을 위장하는지 등 여러 수법을 소개하기도 했습니다.

이번 보고서에서 한 사이버 업체는 북한을 “세계에서 가장 왕성하게 활동하는 사이버 도둑”이라고도 표현한 것으로 전해집니다. 제재가 이뤄질수록 북한도 새로운 ‘꼼수’를 더해가겠지만 불법 사이버 탈취 등을 통한 핵·무기 개발 자금 확보를 막기 위한 국제사회의 노력은 더욱 필요해 보입니다.