[디지털투데이 강진규 기자] 비트코인, 이더리움 등 가상자산을 갈취한 것으로 미국 정부가 지목한 북한 해커들이 수년간 블록체인, 가상자산 업계에서 종횡무진(縱橫無盡)한 것으로 드러났다. 그들은 가상자산 거래 앱, 지갑(Wallet) 등을 개발하고 트위터, 텔레그램 방 등을 운영하며 활동했다. 

11일 관련 소식통에 따르면 지난달 미국 정부가 지목한 북한 해커들이 수년 동안 글로벌 블록체인, 가상자산 업계에서 대담한 활동을 펼쳤던 것으로 분석됐다.

지난 2월 17일(현지시간) 미국 법무부는 “사이버공격을 수행하고, 금융기관과 회사로부터 13억달러 이상의 돈과 가상자산을 갈취한 범죄에 참여한 3명의 북한 컴퓨터 프로그래머를 기소한다”고 밝혔다.

미국 법무부는 북한 해커들이 2018년 3월부터 2020년 9월까지 가상자산 관련 활동을 펼쳤다고 설명했다. 해커들은 악성 가상자산 앱을 개발해 유포하거나 가상자산 업체를 해킹해 수천만달러 규모의 가상자산을 빼돌렸다. 미국 정부는 해커들이 가상자산 앱, 지갑은 물론 블록체인 플랫폼 개발, 코인 발행(ICO) 등을 시도했다고 주장했다.

관계자들에 따르면 이들 해커는 은밀히 활동했을 것이라는 인식과 달리 활발한 활동을 펼쳤다.

미국 법무부가 지목한 A업체는 홈페이지 등을 통해 자신들이 보안에 강한 가상자산 지갑(Wallet)을 개발한다고 주장했다. A업체는 가상자산 지갑을 선택할 때 주의사항까지 당부했다. 적용된 암호화 알고리즘과 계약이 안전해야 한다는 것이다. 이 업체는 가상자산 지갑 선택 시 보안이 중요하다며 자사 제품을 선택해야 한다고 주장했다. 그러나 미국 법무부에 따르면 이 가상자산 지갑 앱은 악성코드라고 한다.

또 다른 위장 가상자산 지갑 개발회사 B업체는 미국, 유럽 기업을 연상시키는 모습으로 홈페이지를 구축했다. 홈페이지의 설명은 모두 영어로 돼 있었다. 이 회사는 공지 사항을 통해 직원들이 암호, 12단어 구문 또는 개인키 등 민감한 정보를 절대 요구하지 않는다며 피싱에 주의할 것을 당부했다. 그런데 정작 B업체의 사이트는 백신 소프트웨어(SW) 등에 위험 사이트로 등록돼 있다.

미국 법무부가 지목한 또 다른 위장업체인 C업체는 텔레그램 방을 운영하며 투자자, 고객 등을 관리한 것으로 알려졌다. 텔레그램 방 운영은 국내외 블록체인, 가상자산 기업들이 널리 사용하고 있는 마케팅, 고객관리 방법 중 하나다.

기자가 들어간 본 결과 C업체 텔레그램 방에서는 투자 정보가 논의된 것으로 나타났다. 모든 대화, 소통은 영어로 이뤄졌다. C업체 텔레그램 방 운영자는 미국 정부의 경제 정책 등의 정보를 공유하거나 자사 서비스 개선 소식을 전했다. 운영자는 참가자들을 패밀리(family)라고 부르며 친근감을 나타냈다. 이 텔레그램 방은 지난해까지도 활발히 운영된 것으로 기록이 남아있다.

북한 해커들의 위장업체가 운영한 것으로 추정되는 트위터 계정도 발견됐다. 이 트위터 계정은 코인, 블록체인 업계 주요 인물, 업체 계정을 팔로잉(트윗 내용 받아보기)하고 있었다. 

이 계정은 이더리움의 창시자 비탈릭 부테린, 트론 창립자 저스틴 선, 바이낸스 최고경영자(CEO) 창펑 자오, 코인베이스 창립자 브라이언 암스트롱은 물론 보안업체 맥아피 창립자로 가상자산 분야에서 목소리를 높였던 존 맥아피 트위터 계정도 팔로잉했다.

또 코인텔레그래프, 포브스 크립토 등 블록체인 관련 미디어 그리고 비트파이넥스(bitfinex), 비트렉스(Bittrex), 코인베이스, 바이낸스 등 거래소 계정과 트론, 리플, 아이오타(IOTA), 이더리움, 모네로 등 주요 가상자산 재단 계정도 팔로잉했다.

전문가들은 이런 활동이 가상자산, 블록체인 업계의 주요 정보를 파악하기 위한 것으로 보고 있다. 해커들은 트위터 이외에도 홍보를 위해 인스타그램도 활용한 것으로 알려졌다.

미국 정부 관계자들에 따르면 북한 해커들은 콴 등 중국식 이름을 활용해 중국인 또는 화교로 위장하거나 알렉스, 줄리안, 토니 등 외국인 이름으로 활동했다. 이들은 영어, 중국어 등을 사용하며 글로벌 블록체인 업계 관계자로 위장했다.

그동안 북한 개발자, 해커 등이 해외에서 활동한 경우는 많지만 이번처럼 치밀하게 위장한 후 대담하게 활동했던 사례는 없었다. 한 보안업계 관계자는 “활동 내용만 보면 이들이 해커인지 또 북한 사람인지 전혀 알 수 없을 정도다”라고 말했다. IT업계 관계자는 “기소 내용을 알지 못했다면 일반 블록체인, 가상자산 업체로 생각했을 것”이라고 설명했다.

전문가들은 북한 해커들의 활동이 이같이 전혀 자신들을 드러내지 않는 방식으로 진행될 것으로 예상하고 있다.

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)