조 바이든 미 행정부는 암호화폐 강도들이 북한의 무기 프로그램에 힘을 실어주고 있다는 우려 속에 북한 해커들에 대항하기 위해 더 많은 노력을 하고 있다.

바이든 행정부는 지난 2년 동안 상당 시간을 러시아, 이란, 중국의 심각한 사이버 공격에 대비해 미국의 주요 네트워크와 인프라에 대비했다. 하지만 북한의 디지털 위협을 차단하기 위한 노력을 강화하면서 다른 각본을 따라가고 있다. 북한의 암호화폐를 추적해 차단하라는 것이라고 정치 전문 매체인 ‘폴리티코’가 22일(현지 시간) 보도했다.

북한이 해킹을 자금난에 빠진 김정은 정권에 돈을 다시 쏟아붓는 방법으로 주로 보고 있다고 확신한 백악관은 북한이 사이버 공격을 통해 훔치는 암호화폐를 세탁할 수 있는 능력을 차단하는 데 주력했다.

지난해 미 정부는 북한 해킹 집단과 유령회사들(front companies), IT 종사자들에 대한 제재 방안을 잇따라 공개하고, 이들이 훔친 자금을 세탁하는 데 사용하는 암호화폐 서비스를 블랙리스트에 올렸다.

12월 초, 제이크 설리번(Jake Sullivan) 백악관 국가안보보좌관은 북한의 핵과 재래식 무기 프로그램에 대한 자금을 차단하는 것을 목표로 한국 및 일본과의 새로운 파트너십을 발표했다.

국가안보보좌관 앤 뉴버거(Anne Neuberger)는 “북한의 사이버 작전에 대응하기 위해, 최우선 순위는 그들의 암호 해독가들에 집중하는 것이었다”고 폴리티코와의 인터뷰에서 말했다.

그는 이어 “북한의 사이버 활동을 무디게 하려는 노력은 이러한 공격의 결과가 어디로 향하고 있는지에 대한 경각심을 높이는 데 힘입은 것”이라고 덧붙였다.

또 그는 “해킹이 북한으로 하여금 제재를 회피하거나 국제 사회가 그들의 무기 확산과 미사일 체제, 그리고 우리가 보아온 발사 횟수의 증가를 목표로 한 조치들을 회피할 수 있게 했다”고 주장했다.

스타트업이 장악하고 있는 급성장하고 있는 암호화폐 업계의 허술한 규제와 허술한 보안이 평양 해커들의 손쉬운 표적이 되고 있다.

암호화폐의 내장된 개인 정보 보호 기능과 마우스 패드를 클릭하면, 국경을 넘어 전송할 수 있다는 점 때문에 제재를 피할 수 있는 강력한 도구도 제공하고 있다.

북한은 지난 한 해 동안 100여 차례의 탄도미사일 실험을 했고, 지난 18일 5개월 만에 처음으로 대륙간탄도미사일(ICBM) 실험을 했다. 한국 정보기관에 따르면, 11월과 8월 사이에 러시아에 백만 발 이상의 포탄을 수출하기도 했다.

미국 관리들은 점점 더 이러한 유형의 활동을 늦추는 열쇠가 해킹과 암호화폐의 교차점에 있다고 믿고 있다.

암호화폐 추적업체 체인아시스(Chainalysis)의 추정에 따르면, 지난해 평양과 연계된 해커들이 약 17억 달러(약 2조 2,151억 원) 상당의 디지털 돈을 훔쳤다. 이어 지난 5월, 뉴버거는 북한의 미사일 프로그램의 절반 정도가 사이버 공격과 암호화폐 절도로 자금이 지원된다고 추정했다.

베단트 파텔(Vedant Patel) 미 국무부 대변인은 “북한 해커들이 북한의 대량살상무기(WMD)와 탄도미사일 프로그램에 직접 자금을 대준다고 말했다. 최근까지 워싱턴에서 북한의 사이버 실력은 상대적으로 주목을 받지 못했다.

전문가들은 우크라이나와 가자지구 분쟁이나 중국의 대만 침공 가능성으로 인해 디지털 공격이 확산될 것이라는 우려가 이 문제를 무색하게 했다는 것이다.

사이버 보안 회사 크라우드스트라이크(CrowdStrike)의 수석 부사장 아담 마이어스(Adam Meyers)는 인터뷰에서 ”사람들은 어떻게 인용문이 없는 ‘은둔의 왕국(북한)’이 사이버 관점에서 심각한 플레이어가 될 수 있다고 생각하는 경향이 있다“면서. ”하지만 현실은 더 이상 사실과 동떨어질 수 없다“고 강조했다.

민간 연구자들에 따르면, 북한의 해커들은 기술적인 독창성, 구식 스파이 수법과 사이버 작전을 혼합하는 능력, 그리고 뻔뻔함으로 서방 기업들의 허를 거듭 찔렀다고 한다. 그리고 북한의 사이버 작전을 연구하는 사람들은 그들의 암호화폐 탈취 능력이 오늘날 서방세계에 대한 주요한 도전이라고 말하고 있다.

일부 지표에 따르면, 북한은 2022년에 12개 이상의 공급망 공격을 시작했다. 이는 해커들이 소프트웨어 제공 파이프라인을 손상시켜 광범위한 회사에 거의 제한 없이 접근하는 정교한 전술이다.

사이버 보안 회사 센티넬(SentinelOne)의 위협 연구원(a threat researcher)인 톰 헤겔(Tom Hegel)은 이러한 공격의 중요성이 ”대중에게 극도로 과소평가되어 있다“고 말했는데, ”이는 공격의 직접적인 피해자인 경우가 많고, 종종 개인이나 무명의 암호화폐 스타트업에 피해를 입히지 않았기 때문“이라고 설명했다.

그러나 사이버 보안 전문가들은 그들이 그 회사들을 목표로 삼기 위해 갈고 닦은 것과 같은 기술들 중 일부가 광범위한 디지털 혼란을 야기하는 데 사용되었을 수 있다고 말한다.

올 4월 사이버 보안 회사인 만디언트(Mandiant)의 연구원들은 ”북한 해커들이 한 소프트웨어 제조업체에서 순식간에 그리고 그곳에서 그 회사의 고객들에게 뛰어드는, 알려진 최초의 ‘이중’ 소프트웨어 공급망 해킹 사례를 성공시켰다“는 것을 발견했다.

맨디언트는 해커들이 암호화폐를 노리고 있다고 평가했다. 그러나 그들이 원했다면, 북한 사람들은 ”대규모 수준의 피해“를 입히기 위해 그러한 전술을 사용할 수 있었을 것이라고 센티넬원의 헤겔은 말했다. 보안업체 스플렁크(Splunk)의 글로벌 보안 고문 믹 바시오(Mick Baccio)는 ”북한이 전 세계적인 규모에서 할 수 있는 일은 아무도 복제하지 못했다“고 덧붙였다.

뉴버거는 북한 해커들의 능력이 더 커졌고, 파괴적인 활동으로 방향을 바꿀 수 있다는 우려 수준에 대한 질문에 북한 해커들이 ”능력 있고, 창의적이며, 공격적“이라고 인정했다. 백악관은 북한이 북한의 무기 프로그램에 사용될 수 있는 돈이나 지적 재산을 훔치는 데 주력하고 있다고 확신한다고 말했다.

뉴버거는 또 북한의 핵 공격의 수익성을 차단하는 것이 핵 공격을 저지하는 가장 좋은 방법 중 하나라고 주장하면서 ”목표는 김정은 정권의 해킹 수익성을 공격적으로 줄이는 것“이라고 말했다.

북한의 컴퓨터 전쟁에 대한 숙련도는 거의 10년 동안 관찰자들을 놀라게 했다. 그들은 2014년 북한 공작원들이 소니 픽처스 엔터테인먼트를 해킹하여 김정은 암살을 묘사한 거친 코미디 영화 "인터뷰"를 개봉하지 못하게 위협했을 때, 대중의 의식에 갑자기 떠오른 것으로 유명하다.

몇 년 후인 2017년, 그들은 몇 시간 만에 수십억 달러의 피해를 입힌 것으로 추정되는 자가 확산 컴퓨터 바이러스(a self-spreading computer virus)를 방출했다. 그러나 북한 해커들의 기술적 숙련도가 증가하고 있는 것은 물론 최근에는 그들의 활동의 양과 다양성이 관찰자들을 놀라게 하고 있다.

지난 18개월 동안 미국 정보기관들은 북한이 정보 수집을 위해 싱크탱크들과 학계들을 겨냥하고 있으며, 피해자들의 데이터를 강탈할 때까지 뒤엉키는 랜섬웨어 공격을 감행하고 있다고 경고했다.

최근 미 법무부와 FBI, 재무부도 북한이 수천 명의 기술 인력을 러시아와 중국에 파견해 허위 신원으로 글로벌 기업들과 원격 IT 일자리를 확보한 뒤 이들의 급여를 다시 북한 정권에 흘러넘겼다고 비난했다.

이 지역 밖에서는 거의 주목을 받지 못했던 최근의 한 사례에서, 북한 해커들은 한국의 데이터 복구 회사의 내부자들과 공모하여 북한의 공격으로 인해 자신도 모르는 사이에 피해자들로부터 수백만 명을 속여먹었다.

한국의 사법 당국에 따르면, 그 돈의 일부만이 평양으로 되돌아간 것으로 보인다. 그러나 이 계획은 2017년으로 거슬러 올라가며 이전에 평양과 연결되지 않은 랜섬웨어의 변종을 포함했다.

체이널리시스)Chainalysis)의 조사 담당 부사장인 에린 플랜트(Erin Plante)는 ”이 사건은 한국이 정밀 조사를 피하, 국제 제재를 피할 수 있는 방법을 찾는 데 얼마나 창의적이었는지를 말해준다“면서 ”그것은 북한 해커들이 항상 우리가 하는 것과 같은 방식으로 진화하고, 뉴스를 따라가고 있다는 것을 보여준다“고 말했다.

사이버 보안 회사 만디언트의 북한 전문가인 마이클 반하트(Michael Barnhart)는 ”이 계획이 북한 해킹 세력이 최근 기억 속에서 감행한 여러 다른 작전들을 연상시킨다“면서 ”그 중 일부는 아직 공개되지 않았다“고 설명했다.

그는 ”공통된 주제는 북한이 사이버 작전과 보다 전통적인 스파이 활동 및 자금 세탁 전술을 얼마나 능숙하게 구사하느냐 하는 것“이라며, ”이곳은 매우, 매우 잘 조직된 범죄 가족(very, very well-organized criminal family)“이라고 말했다.