# 지난해 블록체임 게임 회사 ‘스카이 마비스(Sky Mavis)’에서 근무하던 한 엔지니어는 새 일자리를 찾던 중 구인·구직 SNS인 링크드인을 통해 한 채용 담당자와 선이 닿았다. 둘은 통화를 했고, 채용 담당자는 이 엔지니어에게 채용 과정이 담긴 문서 파일을 이메일로 보냈다. 엔지니어는 의심 없이 파일을 열었지만, 그 문서 파일은 북한 해커가 악성 코드를 숨겨 놓은 ‘트로이 목마’였다. 북한의 사이버 공격 부대원이었던 채용 담당자는 스카이 마비스의 게임 ‘액시인피니티 플레이어’에서 6억 달러(약 7758억원)에 달하는 가상자산을 훔쳤다.
 
북한이 러시아, 중국 등 전 세계 곳곳에 수천명에 달하는 IT 인력으로 구성된 ‘그림자 부대’를 운용 중이라고 월스트리트저널(WSJ)이 11일(현지시간) 보도했다. 그림자 부대는 캐나다 IT(정보통신) 기술자, 정부 관료, 프리랜서 일본 블록체인 개발자, 고용주 등으로 가장해 가상자산을 탈취하고 있다. 외국인 배우를 고용해 구직 면접을 보게 하는 등 상대방을 속이는 각종 방법을 동원하는 것으로 추정된다.  
 
WSJ는 블록체인 분석업체 체이널리시스(Chainalysis)의 데이터를 인용해 북한의 해커 부대가 2018년께부터 지난 5년간 약 30억 달러(약 3조 8700억원)에 달하는 가상자산을 훔쳤다고 전했다.
 
이 자금은 북한의 핵 및 탄도미사일 프로그램 개발에 필요한 자금 약 50%를 조달하는 데 사용된 것으로 미 당국자들은 보고 있다. 미 국무부에 따르면 북한은 지난 2019년에 약 40억 달러를 국방비로 지출했다. 이는 북한 전체 경제 규모의 26%에 달하는 수준이다.
 
북한 해커 부대는 2018년부터 대규모 가상자산 절도 공격을 시작했다. 그리고 이때부터 북한의 미사일 발사 시도 건수가 늘었다. 제임스 마틴 비확산 연구센터에 따르면 2018년 이후 북한의 미사일 발사 시도가 급증하면서, 지난해에만 42건에 달하는 미사일 발사 시도가 성공했다.

미국 당국자들은 북한의 폐쇄성으로 인해 내부 자금 흐름에 대한 명확한 정보를 획득하기는 어려우나, 북한의 미사일 발사 시도 급증과 가상자산 탈취의 증가세가 궤를 같이한다고 설명했다.
 
앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 담당 부보좌관은 북한이 탄도미사일 프로그램을 위한 외국산 부품을 구매하는 데 사용된 외화 자금의 약 50%가 사이버 공작으로 조달되는 것으로 추측했다. 그는 "지난해 북한의 가상화폐 공격이 세계 각국의 가상화폐 거점을 상대로 기승을 부렸으며, 이에 따라 대규모 강탈이 속출했다"고 말했다. 뉴버거 부보좌관은 지난해 11월만 해도 미사일 프로그램에 사용되는 자금의 약 30%가 사이버 공격으로 충당된다고 봤었다. 반년여 만에 이 비중을 30%에서 50%로 크게 늘린 셈이다.
 
국제 전문가들은 북한이 오랜 기간 이어진 서방의 제재를 피하고 핵무기와 탄도 미사일을 개발하기 위해 해커 부대를 만들었다고 주장했다. 2020년 유엔보고서는 북한의 해킹 활동이 “위험이 낮고, 보상은 높고, 감지하기 어려운 것으로 입증됐다”고 적시한 바 있다. WSJ는 “북한의 해커들은 기술적으로 더욱 정교해지고 있다”며 “지난 1년간 북한의 사이버 범죄 기술은 미국 관리와 연구원들에게 상당한 인상을 줬다”고 전했다.
 
뉴버거 부보좌관은 “대부분 국가의 사이버 프로그램은 지정학적 목적을 위한 스파이 활동이나 공격 능력에 초점을 맞추고 있으나, 북한은 국제 제재를 피하기 위한 경화(hard currency) 절도에 집중하고 있다”고 말했다.