북한 해커들 자금세탁 통로 ‘동남아 결제회사들’

[애플경제 전윤미 기자] 북한의 외화벌이 선두에 선 해킹 그룹의 자금 세탁과 송금 통로가 드러났다. 최근 북한 해커들은 특히 암호화폐를 훔쳐 동남아 제 3국의 결제 전문회사를 통해 현금화하고 있다. 로이터통신과 일련의 블록체인 데이터에 의해 밝혀진 바에 의하면 최근 북한은 3번의 해킹 으로 훔친 암호화폐 15만달러를 캄보디아 프놈펜의 결제회사 후이원 페이(Huione Pay)사로 이체했다. 후이원 페이는 프놈펜에 본사를 두고 환전, 결제, 송금 서비스를 제공하는 회사다.

미국 FBI는 이번 해킹을 북한 라자루스 그룹의 소행으로 지목했다. 이번 전송 과정을 추적한 결과, 라자루스가 암호화폐를 현금으로 전환하는 방법과 송금 경로 등을 파악할 수 있었다. 라자루스는 그 과정에서 후이원의 계정을 십분 활용한 것으로 알려졌다.

캄보디아의 주요 결제 회사가 북한 해킹 조직인 라자루스가 사용하는 디지털 지갑에서 15만 달러 상당의 암호화폐를 전송받은 경로를 살펴보면 이들 범죄 집단이 동남아시아에서 어떻게 자금을 세탁했는지 엿볼 수 있다는 얘기다.

프놈펜 결제회사 ‘후이원 페이’, 장물아비 역할

로이터가 인용한 ‘블록체인 데이터’에 따르면 휴이원페이는 2023년 6월부터 올해 2월 사이에 15만 달러의 암호화폐를 받았다. 문제의 암호화폐는 익명의 디지털 지갑에서 휴이원 페이로 전송되었다. 이는 라자루스 해커가 작년 6월과 7월에 암호화폐 회사 3곳에서 피싱 공격으로 훔친 자금이다. 이를 현금화하기 위해 일단 휴이원의 디지털지갑으로 전송했다.

앞서 FBI는 지난 2023년 8월에 라자루스가 암호화폐 회사인 에스토니아에 본사를 둔 어토믹 월릿과 코인즈페이드 등 두 회사로부터 약 1억 6천만 달러를 약탈했다고 밝혔다. 이들 회사 스스로는 이를 함구하고 있다. 어쨌뜬 이는 미국이 북한의 무기 프로그램에 자금을 지원하고 있다고 밝힌 라자루스가 가장 최근 벌인 해킹이다.

유엔도 최근 “암호화폐를 통해 북한이 국제 제재를 회피할 수 있다”고 밝혔다. 런던에 본부를 둔 국방 및 안보 싱크탱크인 왕립연합군연구소(Royal United Services Institute)에 따르면 이런 해킹 행위를 통해 북한은 거래가 금지된 상품과 서비스를 입수할 비용을 마련하는 것으로 추측되고 있다.

북한 라자루스, 국제제재 피한 외화벌이 총력

이같은 북한 라자루스의 자금세탁 경로가 밝혀지자, 휴이원페이 이사회는 성명을 통해 “본사가 해커로부터 ‘간접적으로 자금을 받았다’는 사실을 전혀 몰랐으며, 지갑과 해킹 소스 사이의 여러 거래를 인지하지 못했다”고 해명했다. 회사측은 또 “북한이 자금을 입금시킨 디지털 지갑은 본사의 관리 대상이 아니다”고 재차 강조했다.

회사측 말대로 본래 제3자는 자신이 관리하지 않는 지갑과의 거래를 통제할 수 없다. 그러나 “블록체인 분석 도구를 사용하면 기업은 고위험 지갑을 식별하고 지갑과의 상호 작용을 방지할 수 있다”는게 암호화폐 보안 전문가들의 말이다. 회사측 해명이 궁색한 변명이라는 지적이다.

이 회사는 캄보디아의 훈 마네(Hun Manet) 총리의 사촌인 훈 토(Hun To)를 포함한 3명의 이사가 소속되어있다. 그러나 지갑에서 북한의 자금을 받은 이유나 규정 준수 정책에 대한 세부 정보 제공을 거부했다. 회사는 “훈 토가 이사를 맡고 있는 사실은 회사 운영에 대한 일상적인 감독을 벗어난다”는 것이다. 훈토나 캄보디아를 지배하는 총리의 가문이 암호화폐 거래에 대해 알고 있었다는 증거는 없는 셈이다.

그러나 캄보디아 국립은행(NBC)은 로이터 통신에 보낸 성명에서 “후이원과 같은 결제 회사는 암호화폐와 디지털 자산을 거래하거나 거래하는 것이 허용되지 않는다”면서 “이는 자금 세탁 및 테러 자금 조달의 위험을 초래할 수 있는 가능성을 막기 위한 것”이라고 밝혔다.

이 은행은 그러면서 “곧 시정 조치를 취할 것”이라고 밝혀 후이원의 행태가 잘못되었음을 지적이다. 또 북한 해커의 공격을 당했던 코인즈페이드는 “도난당한 3,700달러 상당의 암호화폐가 후이운 페이의 디지털 지갑으로 보내진 것으로 나타났다.”고 확인했다.

후이원페이, 캄보디아 총리 가문과 커넥션?

암호화폐는 익명이고 기존 은행 시스템 외부에서 유통된다. 지갑에서 지갑으로 전송된 암호화폐의 양과 거래가 발생한 시기를 기록하는 불변의 공개 원장인 블록체인에서 그 움직임을 추적할 수 있다.

미국 블록체인 분석 회사인 TRM Labs는 “후이원 페이가 북한 해킹으로 도난당한 암호화폐의 대부분을 (현금화하기 위해) 전달받는 ‘장물아비’격인 여러 결제 플랫폼 브로커 중의 하나”라고 지적했다. 이들 및 장외 브로커는 암호화폐 구매자와 판매자를 연결하는 과정에서 일반 암호화폐 거래소보다 더 높은 수준의 비밀을 유지하는게 보통이다.

TRM은 또한 “해커들이 자신의 흔적을 숨기기 위해 복잡한 세탁 작업을 통해 훔친 암호화폐를 테더(USDT)를 포함한 다른 암호화폐로 전환하곤 한다”고 했다. 테더(USDT)는 달러로 일정한 가치를 유지하는 스테이블 코인이다. TRM은 그러면서 “북한 해커들은 테더 거래를 위해 신속하고 저렴한 비용의 등록기인 Tron 블록체인을 사용하고 있다”고 덧붙였다.

이에 따르면 ‘Tron 블록체인’을 통해 거래소, 서비스 및 장외 브로커(OTC)로 전송되는 것으로 나타났다. 그 중 하나가 후이원 페이로 알려져있다.

영국령 버진 아일랜드에 등록된 ‘트론 블록체인’측은 “트론은 블록체인 기술의 남용을 비난하며 이들과 기타 악의적인 행위자들을 모든 형태로, 어디서든 발견할 수 있도록 퇴치하는 데 최선을 다하고 있다”면서도 북한 해킹에 대해선 언급하지 않았다. Atomic Wallet 해킹에 대해 직접적인 언급을 하지 않았습니다.

한편 라자루스 해킹 사건을 조사한 미국 블록체인 분석 회사인 머클 사이언스(Merkle Science)는 2023년 북한 해킹 과정의 코인 움직임을 조사한 바 있다. 이에 따르면 자금 추적을 은폐하기 위해 라자루스는 복잡한 경로로 우회하기 때문에 자금을 추적하는 것이 어렵다. 그럼에도 조사 결과 어토믹 월렛을 해킹한 라자루스는 나중에 후이원으로 자금을 이체한 익명 지갑으로 3번의 ‘홉’(이체)이 있었던 것으로 나타났다. 여러 암호화폐 지갑 간의 전송은 자금 세탁 조직에겐 매우 위험한 시도라는게 분석가들의 얘기다.

“북한 해커들, 동남아 범죄자들과 연계”

또 다른 조사에 따르면 어토믹 월렛을 표적으로 삼은 라자루스 해커는 2023년 6월부터 9월 사이에 약 87,000달러 상당의 테더를 익명의 지갑으로 보냈다. 이 지갑은 또한 코인즈페이드와 알파보에서 도난당한 약 15,000달러 상당의 테더를 받았다고 머클 사이언스는 밝혔다.

지난 1월 유엔은 라자루스가 관련된 플랫폼의 이름을 밝히지 않은 채 “동남아시아의 범죄자들과 돈세탁 네트워크를 공유하고 있다”고 밝혔다. 유엔은 “지역이 규제되지 않은 암호화폐 서비스 제공업체와 ‘지하 은행’ 역할을 하는 온라인 카지노로 가득 차 있다”면서도 직접 ‘후이원’을 언급하진 않았지만, “동남아시아는 여러 면에서 첨단 기술의 자금세탁과 사이버 범죄 작전의 주요 시험장이 되는 글로벌 그라운드 제로가 됐다”고 지적했다.

한편 G7의 불법 금융감독 기구인 FATF(Financial Action Task Force)는 지난해 정권이 교체되었다는 이유로 캄보디아를 자금세탁 방지 정책에 소홀한 ‘회색 국가’ 목록에서 제외했다. 그러나 FATF 대변인은 “2021년 보고서에선 암호화폐 기업에 대한 캄보디아의 불법 금융 규정에 큰 결함이 있다는 점을 강조하고 있다”면서 예전의 평가가 여전히 유효하다고 로이터에 밝혔다. 이같은 상황에서 캄보디아 중앙은행은 “사기, 돈세탁, 사이버 보안 위협 등 불법 활동에 암호화폐를 사용하는 것을 식별하고 처벌하기 위한 규정 초안을 작성 중”이라고 밝혔다.