북한의 암호화폐 탈취 전략이 기존의 대규모 해킹을 넘어, 미국 기업 내부에 IT 인력으로 위장 잠입하는 교묘한 방식으로 진화하고 있는 것으로 드러났다. 미국 재무부 해외자산통제실(OFAC)은 최근 미국 시민의 신분을 도용해 IT 인력을 미국 기업에 취업시킨 북한 연계 조직원과 러시아 협력자를 제재하며 이들의 새로운 수법을 공개했다. 이는 단순 사이버 공격이 아닌, 장기적인 내부 침투를 통한 ‘기만 기반 수익 창출(deception-based revenue generation)’로의 전략적 전환을 의미해 암호화폐 업계에 최고 수준의 경계령이 내려졌다.
신분 도용과 해외 협력… 치밀하게 짜인 ‘트로이 목마’ 작전
OFAC의 제재 발표에 따르면, 이번에 적발된 작전은 매우 치밀하고 조직적으로 이루어졌다. 북한 국적의 송금혁(Song Kum Hyok)은 미국 시민의 정보를 훔쳐 가짜 신분을 만드는 역할을 담당했다. 이후 러시아 국적의 가이크 아사트리안(Gayk Asatryan)은 러시아에 설립한 자신의 회사 4곳을 이용해 이 가짜 신분을 가진 수십 명의 북한 IT 인력을 고용했다. 최종적으로 이들은 미국 암호화폐 기업을 포함한 여러 회사에 원격 근무자로 취업하는 데 성공했다. 이는 마치 ‘트로이 목마’처럼 기업의 방어벽을 무력화하고 내부로 침투하는 방식이다. 외부에서 시스템을 공격하는 해커와 달리, 정식 직원으로 위장한 내부자는 시스템 접근 권한을 합법적으로 부여받는다. 이를 통해 장기간에 걸쳐 기업의 핵심 정보, 고객 데이터, 지갑 개인 키 등을 빼돌리거나, 동료들을 상대로 사회 공학적 사기를 벌여 막대한 피해를 입힐 수 있다. 블록체인 분석업체 TRM 랩스는 이러한 변화를 “북한이 전통적인 해킹에서 벗어나 IT 인력 침투와 같은 기만 기반의 수익 창출로 전환하고 있다”고 분석했다. 이는 방화벽과 보안 시스템만으로는 막기 어려운, 훨씬 더 고도화되고 위협적인 공격 형태다.
목표는 ‘미사일 프로그램 자금’… 전 세계에 파견된 수천 명의 IT 인력
OFAC는 북한이 이와 같은 방식을 통해 핵·미사일 개발 프로그램을 위한 자금을 조달하려 한다고 지적했다. 전 세계에 파견된 수천 명의 고도로 숙련된 IT 인력이 외화벌이의 첨병 역할을 하고 있다는 것이다. 마이클 포크너(Michael Faulkender) 재무부 부장관은 “재무부는 김정은 정권이 디지털 자산 절도, 미국인 신분 위장, 악의적인 사이버 공격을 통해 제재를 회피하려는 노력을 저지하기 위해 모든 가용한 수단을 사용할 것”이라며 강력한 대응 의지를 밝혔다. 이번 사건은 암호화폐 기업들의 보안 패러다임에 근본적인 변화를 요구한다. 이제 기업들은 네트워크 보안뿐만 아니라, 인적 자원(HR) 관리와 내부자 위협 탐지에 총력을 기울여야 하는 상황에 직면했다.
신원 조회, 경력 검증, 내부 활동 모니터링 등 채용 과정부터 재직 기간 전체에 걸친 철저한 검증 시스템이 없다면, 언제든 회사의 핵심 자산을 노리는 내부의 적에게 문을 열어주는 셈이 될 수 있다. 과거 라자루스와 같은 해킹 그룹의 대규모 거래소 공격에 집중됐던 북한의 사이버 위협이 이제는 기업의 가장 약한 고리인 ‘사람’을 파고드는 방식으로 진화하고 있다. 암호화폐 업계가 이 새로운 형태의 ‘조용한 전쟁’에 어떻게 대응할지 중대한 시험대에 올랐다.
