다자 제재 모니터링 팀(MSMT)이 발표한 보고서에 따르면, 북한과 연계된 해커들이 2024년부터 2025년 9월까지 가상 자산 28억 3천만 달러를 탈취했습니다.
보고서는 평양이 절도에 뛰어날 뿐만 아니라 불법 수익을 현금화하는 정교한 방법도 보유하고 있다고 강조합니다.
Sponsored해킹 수익, 국가 외화의 3분의 1
MSMT는 미국, 한국, 일본을 포함한 11개국의 다국적 연합입니다. 이는 북한에 대한 유엔 안전보장이사회 제재 이행을 지원하기 위해 2024년 10월에 설립되었습니다.
MSMT에 따르면, 2024년부터 2025년 9월까지 탈취된 28억 3천만 달러는 중요한 수치입니다.
“2024년 북한의 가상 자산 절도 수익은 국가 총 외화 수입의 약 3분의 1에 해당합니다.” – MSMT 팀 언급.
절도의 규모는 급격히 증가했으며, 2025년에는 16억 4천만 달러가 탈취되었습니다. 이는 2024년의 11억 9천만 달러에서 50% 이상 증가한 수치입니다. 2025년 수치는 마지막 분기를 포함하지 않았습니다.
Sponsored Sponsored바이비트 해킹…트레이더트레이터 조직
MSMT는 2025년 2월 글로벌 거래소 Bybit 해킹을 2025년 불법 수익 급증의 주요 원인으로 지목했습니다. 이 공격은 북한의 가장 정교한 해킹 조직 중 하나인 TraderTraitor에 의해 이루어졌습니다.
조사 결과, 이 그룹은 Bybit에서 사용된 다중 서명 지갑 제공업체인 SafeWallet과 관련된 정보를 수집했습니다. 그들은 피싱 이메일을 통해 무단 접근을 얻었습니다.
그들은 악성 코드를 사용하여 내부 네트워크에 접근하고 외부 전송을 내부 자산 이동으로 위장했습니다. 이를 통해 콜드 월렛의 스마트 계약을 장악할 수 있었습니다.
MSMT는 지난 2년간의 주요 해킹에서 북한이 종종 거래소 자체를 공격하기보다는 거래소와 연결된 제3자 서비스 제공업체를 목표로 한다고 언급했습니다.
Sponsored Sponsored9단계 세탁 메커니즘
MSMT는 북한이 탈취한 가상 자산을 법정 화폐로 전환하는 9단계의 세심한 세탁 과정을 상세히 설명했습니다:
1. 공격자들은 탈취한 자산을 DEX에서 ETH와 같은 암호화폐로 교환합니다.
2. 그들은 Tornado Cash, Wasabi Wallet, Railgun과 같은 서비스를 사용하여 자금을 ‘믹싱’합니다.
3. 그들은 ETH를 브리지 서비스를 통해 BTC로 변환합니다.
4. 그들은 중앙화 거래소 계정을 거쳐 자금을 콜드 월렛으로 이동합니다.
5. 그들은 두 번째 믹싱 후 자산을 다른 지갑으로 분산합니다.
6. 그들은 브리지와 P2P 거래를 사용하여 BTC를 TRX(Tron)로 교환합니다.
7. 그들은 TRX를 스테이블코인 USDT로 변환합니다.
8. 그들은 USDT를 장외거래(OTC) 브로커에게 전송합니다.
9. OTC 브로커는 자산을 현지 법정 화폐로 현금화합니다.
글로벌 네트워크, 현금화 지원
가장 어려운 단계는 암호화폐를 사용 가능한 법정 화폐로 전환하는 것입니다. 이는 중국, 러시아, 캄보디아를 포함한 제3국의 OTC 브로커와 금융 회사를 통해 이루어집니다.
Sponsored보고서는 특정 개인들을 지목했습니다. 여기에는 중국 국적의 Ye Dinrong과 Tan Yongzhi, 그리고 P2P 거래자 Wang Yicong이 포함됩니다.
그들은 북한 기관과 협력하여 허위 신분증을 제공하고 자산 세탁을 촉진한 혐의를 받고 있습니다. 러시아 중개인들도 Bybit 해킹에서 약 6천만 달러를 현금화하는 데 연루되었습니다.
또한, 캄보디아의 후이원 그룹 산하 금융 서비스 제공업체인 후이원 페이가 세탁에 이용되었습니다.
“북한 국적자가 후이원 페이 관계자와 개인적인 관계를 유지하며 2023년 말 가상 자산을 현금화하는 데 협력했습니다.” – MSMT 언급.
MSMT는 2024년 10월과 12월에 캄보디아 정부에 후이원 페이의 활동에 대한 우려를 제기했습니다. 이는 유엔이 지정한 북한 사이버 해커를 지원하는 활동과 관련이 있습니다. 그 결과, 캄보디아 국립은행은 후이원 페이의 결제 라이선스 갱신을 거부했지만, 회사는 여전히 해당 국가에서 운영되고 있습니다.
