미국 연방 교도소에 수감된 한 애리조나 여성이 북한 공작원들이 훔친 신분증과 위조 서류를 이용해 미국 암호화폐 및 기술 기업에 침투하는 것을 도운 혐의로 8년 이상의 징역형을 선고받았다. 미 법무부 워싱턴 D.C. 지구 검찰청이 목요일 발표한 내용에 따르면, 크리스티나 마리 채프먼(Christina Marie Chapman)은 통신 사기 공모, 가중 신원 도용, 돈세탁 공모 혐의로 유죄가 인정되어 102개월(약 8.5년)의 징역형을 선고받았다.
검찰은 채프먼이 북한(DPRK)과 연계된 공작원들과 협력하여 300개 이상의 미국 기업에서 원격 IT 직책을 얻도록 도왔다고 밝혔다. 북한 노동자들은 미국 시민이나 거주자인 것처럼 위장했으며, 이 계획을 통해 1,700만 달러 이상의 불법 수익이 창출된 것으로 드러났다. 채프먼은 지난 2월 11일 유죄를 인정했으며, 징역형 외에도 3년간의 보호관찰, 계획과 관련된 28만 4천 달러 이상의 자금 몰수, 그리고 17만 7천 달러에 달하는 배상금 지급 명령을 받았다.
이 사건은 미 법무부가 기소한 북한 IT 노동자 계획 중 가장 큰 규모 중 하나이다. 이 사건은 68명의 미국인 신원 도용과 309개 미국 기업 및 2개 국제 기업에 대한 사기 행위를 포함한다. 하지만 이러한 유형의 사건은 드문 일이 아니다. 최근 보고서에 따르면, 북한인 4명이 원격 IT 노동자로 위장하여 미국 암호화폐 스타트업과 세르비아 가상 토큰 회사에 침투해 90만 달러 이상을 훔친 사건도 있었다. 이달 초 미 재무부는 암호화폐 기업에 침투하여 착취를 목표로 하는 북한 운영 IT 노동자 조직에 연루된 두 명의 개인과 네 개의 단체를 제재했다. 미 재무부는 당시 X 게시물에서 북한이 이렇게 불법적으로 얻은 자금을 대량살상무기(WMD) 프로그램 자금으로 사용하고 있다고 설명했다. 지난달에는 합법적인 IT 노동자로 위장한 해커들이 웹3 프로젝트에 침투하여 약 100만 달러 상당의 암호화폐를 훔친 사례도 있었다. 4월 초, 구글 위협 정보 그룹(GTIG)의 자문가 제이미 콜리어(Jamie Collier)는 북한 침투 조직이 영국 암호화폐 기업에서도 발견되었다고 경고한 바 있다.
일부 법률 전문가들은 사기성 노동자를 고용한 기업이 해당 노동자의 실제 신원을 알지 못했더라도 미국 제재법에 따라 책임을 질 수 있다고 경고한다. 암호화폐 전문 미국 변호사 애런 브로건(Aaron Brogan)은 미국 제재 제도가 “상당히 광범위하며 ‘엄격 책임(strict liability)’ 제도를 부과한다”고 밝혔다. 그는 “제재 대상 활동에 참여하는 사람은 누구든, 고의든 아니든, 기술적으로는 유죄”라고 덧붙였다. 암호화폐 준법 기업 AML봇(AMLBot)의 법률 책임자 니코 뎀축(Niko Demchuk) 또한 북한 기반 개발자에게 급여를 지급하는 것은 “일반적으로 미 재무부 해외자산통제실(OFAC) 위반”이라고 강조했다. 그는 그러한 활동에 연루된 기업들이 민사 벌금, 형사 벌금, 명예 손상, 2차 제재, 은행 또는 수출 통제 위반 등의 위험에 처할 수 있다고 경고했다. 뎀축은 북한 공작원들이 위조 신분증을 사용하는 것이 변명이 될 수 없다고 설명하며, “만약 북한 개발자들이 회사 제재 준수 검사를 우회하기 위해 위조 또는 도난당한 신분증을 사용하고 급여를 받는 경우에도, 회사는 OFAC 규정 하에 법적 문제에 직면할 수 있다”고 덧붙였다.
그러나 브로건은 OFAC가 “합리적인 신원 확인 절차를 준수하지 않고 매우 민감한 업무를 수행한 경우”가 아니라면, 고의 없이 사기성 노동자를 고용한 기업을 추적할 가능성은 낮다고 언급했다. 이번 판결은 암호화폐 산업 전반에 걸쳐 강화되는 사이버 보안 및 법률 준수 의무, 특히 국가적 차원의 위협에 대한 경각심을 고취하는 중요한 사례가 될 것으로 보인다. 기업들은 이제 단순히 기술적 방어에 그치지 않고, 인적 자원 관리 및 거래 상대방 확인에 있어서도 더욱 철저한 실사를 요구받게 되었다.
