지난 16일 캄보디아 프놈펜에 후이원 은행 앞에서 중국인들이 개점을 기다리고 있다. 최근 미국은 이 은행을 범죄 조직의 자금 세탁 통로로 지목했다. 이영근 기자

북한이 정부 사이버 조직과 IT 노동자를 동원해 탈취한 암호 화폐를 현금화하면서 캄보디아 금융 플랫폼 후이원(Huione) 페이를 활용한 것으로 나타났다. 후이원 페이는 인신매매와 감금 등 의혹이 불거진 프린스 그룹의 자금 세탁 통로로 지목돼 미국의 금융 제재를 받은 곳이다. 한·미·일 등 11개국이 참여한 ‘다국적제재모니터링팀’(MSMT)은 이런 북한의 불법 사이버 활동 실태를 담은 보고서를 22일 발표했다.

MSMT 보고서에는 북한 사이버 조직의 암호 화폐 탈취·자금 세탁 수법 등이 담겼다. 보고서에 따르면 북한은 정권 수익을 창출하기 위해 당(군수공업부)·군(정찰총국)·정(원자력공업성) 산하에 사이버 조직을 운영하고 있다. 대부분 유엔 안전보장이사회(안보리)의 제재 대상으로, 이들은 상호 중첩되는 지휘 체계 아래 활동한다는 설명이다.

보고서는 북한의 사이버 활동 조직은 정찰총국, 원자력공업성, 군수공업부 등 유엔 제재 대상 단체 산하에 있다고 지적했다. 군 영역에선 정찰총국 산하의 110호 연구소, 63 연구소, 970소, 772 연락소, 조선엑스포합영회사, 414 연락소, 227 연구소 등이 있는 것으로 파악됐다. 행정부 영역에는 보위성 소속의 APT37, 사회안전성 소속의 압록강기술개발회사, 원자력공업성 소속의 조선만경대컴퓨터기술회사, 국방성 소속의 53·61국 등이 식별됐다. 노동당 산하에는 군수공업부에 속한 313총국, 75 지도국, 제2자연과학원 등이 있다. 사진 MSMT 보고서 캡처

이들 조직은 먼저 투자자, 사업가, 채용 담당자로 위장한 뒤 타깃과 접촉해 악성 소프트웨어를 내려받도록 유도했다. 관련 업계 종사자 등을 상대로 가짜 면접을 진행하고, 가짜 신원을 만들어 원격 취직한 뒤 이익을 얻었다. 구직자에게 가짜 코딩 과제를 줘서 시스템을 감염시키기도 했다. 랜섬웨어 공격으로 취득한 데이터를 판매하기도 했는데, 러시아 랜섬웨어 조직과도 협력했다고 한다.

이를 통해 북한이 지난해 1월부터 지난 9월까지 탈취한 암호 화폐 규모는 28.4억 달러(약 4조원)에 이른다. 특히 올해에만 16억 5000만 달러(약 2조3000억원) 규모의 암호 화폐를 탈취했다. 북한은 암호 화폐를 결제수단으로 활용해 안보리 제재가 금지한 무기 및 관련 물자, 원자재 거래를 하고 있다고 MSMT는 설명했다.

인신매매와 감금 등 범죄 혐의로 국제사회의 제재 대상에 오른 캄보디아 프린스그룹의 자금 912억원이 국내 금융사의 캄보디아 현지법인 계좌에 여전히 남아있는 것으로 확인된 가운데 21일(현지시간) 프놈펜 시내 국내 은행 현지법인 지점들의 모습. 연합뉴스

북한은 암호 화폐를 해외 브로커를 통해 현금으로 바꿨다. 주로 중국 금융 시스템 유니온 페이(Union pay)를 사용했다고 한다. 이외에 러시아, 홍콩, 캄보디아 등 네트워크가 자금 세탁에 이용됐다. 특히 캄보디아 후이원 페이도 활용한 것으로 MSMT는 파악했다.

보고서에 따르면 북한 정찰총국 관계자들은 2022년부터 후이원 페이 직원들과 밀접한 관계를 이어왔다. 이는 지난해 5월 일본 DMM 비트코인 등으로부터 탈취한 3760만 달러(500억원) 상당 암호화폐를 후이원 페이로 세탁할 수 있는 기반이 됐다. 2022년 3월엔 북한단체 청송연합이 베트남 게임회사 엑시 인피니티(Axie Infinity)를 해킹해 탈취한 6억 달러(8000억원)를 후이원 페이로 세탁하기도 했다.

MSMT 참여국들은 지난해 10월과 12월 후이원 페이가 유엔 제재 대상인 북한 단체를 지원하고 있다며 캄보디아 정부에 우려를 제기했다. 캄보디아 중앙은행이 후이원 페이의 라이선스를 박탈했지만, 후이원 페이는 여전히 운영 중이라고 한다. 최근 미 금융범죄단속네트워크(FinCEN)는 후이원 그룹을 ‘주요 자금 세탁 우려 금융기관’으로 지정했다.

북한 사이버 조직들은 투자자·사업가·채용담당자 등으로 위장해 아랍에미리트·일본·인도·싱가포르 등의 가상자산 거래소와 접촉, 이들이 악성 소프트웨어를 내려받도록 유도하는 기법을 활용했다. 사진 MSMT 보고서 캡처

외교부 관계자는 “북한 사이버 활동의 전체적인 그림을 제시한 최초의 종합보고서라는 점에서 의미가 있다”고 말했다. 보고서 전문은 웹페이지 https://msmt.info를 통해 일반에 공개됐다.

한·미·일 등 11개국이 참여한 ‘다국적제재모니터링팀’(MSMT)은 북한의 불법 사이버 활동 실태를 담은 보고서를 22일 발표했다. 지난해 10월 MSMT 출범 당시 사진. 사진 공동취재단

이날 MSMT 11개국은 공동성명에서 “유엔 안보리 대북제재 결의들을 충실히 이행하겠다는 공동의 의지를 다시 한번 강조한다”며 “북한이 유의미한 외교적 관여에 나서고, 모든 유엔 회원국들이 북한의 위협과 안보리 결의를 위반해 이뤄지는 북한의 불법 활동을 촉진하는 자들에 맞서 국제평화와 안보를 유지하기 위한 국제적 노력에 동참할 것을 촉구한다”고 밝혔다.

MSMT는 “유엔 안보리 대북제재 결의 위반·회피 활동이 지속했다는 점을 고려해 안보리가 (유엔 안보리 북한제재위원회) 전문가 패널을 해체 이전과 같은 권한과 구조로 복원할 것을 촉구한다”고도 했다. 전문가 패널은 안보리 상임이사국 러시아의 몽니로 지난해 4월 해체됐다. 지난해 10월 11개국이 참여하는 MSMT이 출범하면서 전문가패널이 수행하던 대북제재 이행 감시 등 역할을 이어받았고, 지난 5월 북·러 간 불법적 군사 협력 실태를 담은 첫 번째 보고서를 발표했다.