수사기관 “범죄 수익 회수·동결시키도록 각국 정부·기술기업 협력 이어가”
[데이터넷]
“북한의 해킹을 억지하는 방법은 금융 관점의 대책을 마련하는 것이다.”
임종인 디지털자산정책포럼 대표(고려대학교 석좌교수)는 30일 열린 ‘사이버안보정책포럼’에서 이같이 말하며 “사이버 위협에서의 ‘억지’는 핵 위협과 같은 물리적 위협을 억지하는 것과 다른 방법으로 접근해야 한다. 위협 행위자들이 지금 당장 공격에 성공하고 수익을 얻을 수 있다 해도 곧 검거되며 범죄수익을 몰수당할 수 있다는 사실을 알고 공격 행위를 중단하도록 해야 한다”고 강조했다.
임종인 교수는 콜로니얼 파이프라인을 공격한 다크사이드의 예를 들어 설명했다. 다크사이드는 이 공격으로 75비트코인(지급 당시 440만달러 규모)을 받아냈지만, FBI의 추적으로 콜로니얼 파이프라인이 지급한 몸값을 포함한 다크사이드 해커의 가상화폐 지갑에 있는 200만달러 규모의 가상화폐를 압류했다. 이 사고 후 다크사이드는 활동을 중단하고 조직을 해체했다.
임종인 교수는 “갠드크랩 같은 성공한 랜섬웨어 갱단은 ‘충분한 수익을 얻었으니 은퇴한다’고 선언했다. 그러나 다크사이드, 하이브 등 악명높은 랜섬웨어 조직이 수사기관에 의해 범죄수익을 빼앗기고 조직 해체까지 이르게 되면서 위기감을 가진 것으로 보인다”며 “북한의 해킹도 범죄를 통해 수익을 얻지 못하게 하는 방법으로 억지해야 한다”고 강조했다.
믹싱 서비스 이용 자금세탁 추적 어려워
북한은 전 세계에서 매우 위험한 사이버 공격 조직을 운영하는 것으로 알려진다. 북한은 주로 가상자산 거래소와 개인을 상대로 한 가상자산 탈취 공격을 벌이고 있다. 미국 NSC는 북한이 사이버 공격을 통해 미사일 개발 자금의 30%를 충당하고 있다고 설명했으며, 블록체인 분석 전문기업 체이널리시스는 북한이 해킹한 가상자산이 2조원 이상이라고 발표했다.
현재 국제사회는 범죄자금 세탁과 현금화를 위해 활용되는 주요 거래소를 제재해 사이버 범죄자들의 수익을 악화시키고 있다. 실제로 북한의 범죄자금도 상당부분 동결되어있는 것으로 알려진다.
동결된 자산을 현금화하기 위해 범죄자들은 여러 믹싱 서비스를 이용해 세탁하고 있으며, 믹싱 서비스를 이용하면 가상화폐 추적이 어려워진다. 체이널리시스 등 블록체인 분석 기업들이 믹싱 서비스 추적을 위한 기술을 업그레이드하면서 일부 서비스를 추적하기 시작했으며, 범죄자금 세탁을 중단시키고 있는데, 공격자들의 우회 기술은 계속 발전하고 있어 완전한 추적은 어려운 상황이다.
호명규 체이널리시스 이사는 “북한을 포함한 사이버 범죄조직은 가상자산 시장의 변화와 추적 기술의 진화에 맞서 새로운 해킹 기술을 만들어 우회하고 있다”며 “체이널리시스는 AI를 이용한 클러스터링 기술과 행위분석 기술을 이용해 범죄자금의 흐름을 추적하면서 세계 각국 정부 및 수사기관과 협력해 범죄자금 회수를 위해 노력하고 있다”고 밝혔다.
범죄자금을 추적해 사이버 범죄를 막기 위해서는 자금 흐름을 투명하게 파악할 수 있어야 하며, 거래소, 각국정부와의 협조가 필수다. 범죄자들은 믹싱 서비스와 같은 추적 우회 기술을 빠르게 만들고 있는 실정이다. 특히 범죄자들이 이용하는 자금세탁 서비스는 범죄에 대한 규제가 약한 국가, 범죄자들을 후원하는 국가의 우방국가 등을 이용하기 때문에 대응이 쉽지 않은 상황이다.
이렇게 탈취한 범죄자금은 핵, 미사일 등 무기를 개발하고 전쟁위기를 고조시키는데 사용되고 있으며, 그 외에 여러 범죄를 위해 사용되고 있다.
우리나라 수사기관들도 사이버 범죄조직을 추적하고 검거하기 위해 다양한 노력을 기울이고 있으며, 유명 랜섬웨어 갱단이나 북한 범죄조직 검거에 상당한 기여를 하고 있다. 그럼에도 불구하고 북한의 사이버 위협은 더욱 더 고조되고 있는 상황이다.
국정원 관계자는 이 포럼에서 “범죄 자금을 추적하고, 동결시켜 현금화하지 못하도록 하는 것이 사이버 범죄 억지를 위해 가장 좋은 방법이지만, 이를 위해서는 거래소의 협조가 필요하다. 범죄자들은 수사기관에 협조적인 거래소를 이용하지 않기 때문에 범죄를 억지하는 것이 쉽지 않다”며 “그럼에도 불구하고 정부와 기술기업들은 지속적으로 협력 범위를 넓히면서 범죄 추적과 검거에 나서고 있다. 범죄자들이 실수로 남겨놓은 개인키, 공격 흔적 등을 분석하고, 관련 국가 및 수사기관과 협력하고 있다”고 말했다.
최효진 국가보안기술연구소장은 “북한은 고도로 발달된 금융 해킹 기술을 갖고 있다. 이러한 해킹 기술을 이용해 범죄수익을 올리는 한편 국가안보를 위협하는 여러 공격을 진행하고 있다. 이에 대응하기 위해서는 세계 각국의 공조가 필수이며, 이를 위해 적극적으로 노력하고 있다”고 말했다.
